Tôi nhận thấy rằng khi tôi cố gắng truy cập Stackoverflow thông qua thanh công cụ reddit, tôi nhận được một cửa sổ bật lên có nội dung "Vì lý do bảo mật, không cho phép khung". Xem here để biết ví dụ.Các tác động bảo mật của việc cho phép tạo khung?
Lý do bảo mật chính xác là gì?
Tôi nhận ra rằng đây có thể là một câu hỏi cho meta, nhưng nó thực sự là một câu hỏi bảo mật web tổng quát hơn, vì vậy tôi cho nó một shot ở đây.
Cảm ơn.
Bạn có thể kiểm tra the story on that in here.
EDIT:
Ok, vậy trích dẫn từ các liên kếtvấn đề với khung là nó là bước đầu tiên để clickjacking. Làm thế nào là hoàn thành? Bạn có thể có một trang dường như vô hại với các liên kết có trên đầu trang đó một khung có độ trong suốt hoàn toàn được định vị cẩn thận để khi bạn nhấp vào các liên kết của trang, bạn sẽ nhấp vào các liên kết hoặc các nút của trang được đóng khung. Mặc dù bạn không thể nhìn thấy khung (do có độ trong suốt hoàn toàn), nhưng các nhấp chuột của bạn sẽ bị chặn bởi khung đó. Điều này dẫn đến, trong khi người dùng đang nghĩ rằng anh ta chỉ đang điều hướng trên một trang ngẫu nhiên, anh ấy có thể thực sự thay đổi trạng thái twitter của mình, gửi email, thực hiện một cái gì đó trên facebook, nhấp vào nút trả tiền "Có vui lòng tặng tất cả" nút,. .. trí tưởng tượng là giới hạn.
Rõ ràng có một cơ hội nhỏ bé của một cuộc tấn công có thể nhấp jack như đã chứng minh ở đây:
http://dsandler.org/wp/archives/2009/02/12/dontclick
Vì vậy, tôi đoán nó kinda có ý nghĩa, nhưng nó là hết sức bất tiện.
Để bảo vệ người dùng khỏi các cuộc tấn công bẻ khóa nhấp chuột. Nói một cách đơn giản nhấp chuột hoạt động Jacking như thế này:
Nếu trang web độc ác quyết định sẽ đóng khung trang web của bạn, bạn sẽ được đóng khung. Khoảng thời gian
Sai. Các cơ chế như được triển khai ở đây trong stackoverflow bảo vệ các trang web không bị tải bên trong một trang độc hại khác. Bằng cách này, trang web bảo vệ người dùng của mình khỏi các cuộc tấn công bằng cách nhấp chuột.
f trong trường hợp đó, tại sao phải làm như vậy? Hơn nữa, mục tiêu của cuộc tấn công không nhất thiết là trang web bị đóng khung, nó có thể là bất kỳ trang web nào. Vì vậy, một lần nữa, tại sao bận tâm busting khung?
Khung được sử dụng để tải trang web của nạn nhân bên trong trang sẽ cố gắng lừa người dùng. Phá vỡ khung hình có nghĩa là trang web đang chặn các cuộc tấn công có thể nhấp vào có thể xảy ra này.Hoặc ít nhất thêm một lớp bảo mật bổ sung vì các 'bộ lọc' này cũng có thể bị bỏ qua.
Ok, tôi vừa đọc điều đó. Nó không trả lời câu hỏi. Trong thực tế, nó làm cho mọi thứ khó hiểu hơn: "Nếu một trang web xấu quyết định nó sẽ đóng khung trang web của bạn, bạn sẽ được đóng khung. Thời gian. Khung-busting là không có gì hơn một cảm giác sai về an ninh; nó không hoạt động." Nếu đúng như vậy, tại sao phải làm như vậy? Hơn nữa, mục tiêu của cuộc tấn công không nhất thiết là trang web bị đóng khung, nó có thể là bất kỳ trang web nào. Vì vậy, một lần nữa, tại sao bận tâm busting khung? – jedberg