我注意到当我试图通过Reddit工具栏访问Stackoverflow时,会弹出一个窗口,显示“由于安全原因,不允许框架”。请参见这里的示例。
那么这些安全原因是什么?
我意识到这可能是一个meta问题,但它实际上更像是一个一般的Web安全问题,所以我在这里尝试一下。
谢谢。
那么这些安全原因是什么?
我意识到这可能是一个meta问题,但它实际上更像是一个一般的Web安全问题,所以我在这里尝试一下。
谢谢。
3个回答
1
- Miguel Ventura
1
1好的,我刚刚读了那个。它没有回答问题。事实上,它让事情更加混乱:“如果一个邪恶的网站决定要框架你的网站,你就会被框架。时期。打破框架只是一种虚假的安全感;它不起作用。”如果是这样,为什么还要这样做呢?此外,攻击的目标不一定是被框架的站点,它可能是任何站点。所以,为什么还要打破框架呢? - jedberg
1
为了保护用户免受点击劫持攻击,简单来说,点击劫持的工作原理如下:
攻击者托管恶意HTML文件;
该文件使用框架在后台加载“被攻击”的网站,并通过在“被攻击”的网站上覆盖元素来试图欺骗用户点击他们不想要的东西。
如果一个邪恶的网站决定将你的网站框架化,你就会被框架化。这样实现的机制可以保护网站免受在可能存在恶意页面中加载的威胁。这样,网站就可以保护其用户免受点击劫持攻击。
如果是这种情况,为什么还要这样做呢?此外,攻击的目标不一定是被框架的网站,它可能是任何网站。所以,为什么要打破框架呢?
框架用于在试图欺骗用户的页面中加载“受害者”的网站。打破框架意味着该网站正在阻止这些可能的点击劫持攻击。或者至少增加了一层安全性,因为这些“过滤器”也可以被绕过。
攻击者托管恶意HTML文件;
该文件使用框架在后台加载“被攻击”的网站,并通过在“被攻击”的网站上覆盖元素来试图欺骗用户点击他们不想要的东西。
如果一个邪恶的网站决定将你的网站框架化,你就会被框架化。这样实现的机制可以保护网站免受在可能存在恶意页面中加载的威胁。这样,网站就可以保护其用户免受点击劫持攻击。
如果是这种情况,为什么还要这样做呢?此外,攻击的目标不一定是被框架的网站,它可能是任何网站。所以,为什么要打破框架呢?
框架用于在试图欺骗用户的页面中加载“受害者”的网站。打破框架意味着该网站正在阻止这些可能的点击劫持攻击。或者至少增加了一层安全性,因为这些“过滤器”也可以被绕过。
- pcp
0
显然,可能存在一种微小的点击劫持攻击的可能性,就像这里演示的那样:
http://dsandler.org/wp/archives/2009/02/12/dontclick
所以我猜这有点合理,但是非常不方便。
- jedberg
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接