通过Facebooks Iframe块
在Facebook上,他们似乎有一个阻止你加载他们网站的通过Facebooks Iframe块,facebook,iframe,block,Facebook,Iframe,Block,在Facebook上,他们似乎有一个阻止你加载他们网站的iframe的块 当您这样做时,他们会锁定其网站的完整功能 我只是想知道是否有人知道你如何绕过这个问题?如果你能做到这一点,facebook将面临严重的安全威胁 我说算了吧,即使找到了一个方法,facebook也会很快阻止它,然后这个方法就会失败 除非你在做一些淘气的事情,你现在只需要一些有用的东西 如果他们不阻止,攻击者可以将Facebook页面加载到一个透明的iframe中,并在其下方放置一些有趣的内容。让我们假设受害者已登录faceb
iframe我只是想知道是否有人知道你如何绕过这个问题?如果你能做到这一点,facebook将面临严重的安全威胁 我说算了吧,即使找到了一个方法,facebook也会很快阻止它,然后这个方法就会失败
除非你在做一些淘气的事情,你现在只需要一些有用的东西 如果他们不阻止,攻击者可以将Facebook页面加载到一个透明的iframe中,并在其下方放置一些有趣的内容。让我们假设受害者已登录facebook,然后访问攻击者的网站(一段时间后,在另一个选项卡中) 受害者将单击攻击者网站上的某个内容。但事实上,它正在点击透明的iframe,并在facebook网站上触发一些动作。当然,浏览器会将会话cookie发送到Facebook,Facebook会看到登录用户的合法操作 维基百科有一篇关于点击劫持的文章: 可以使用非官方的X-Frame-Option http头阻止此攻击,如中所述
不幸的是,并不是所有的浏览器都支持它,所以也需要一个破坏框架的java脚本。我很想知道Facebook允许这样做会面临什么样的安全威胁。你能详细说明一下吗?