我們正在創建一個網站,我們將向我們的用戶發佈代碼片段,他們可以將這些代碼片段放在他們自己的網站上。這些片段包含一個JavaScript包含的鏈接。點擊鏈接時,會打開包含登錄對話框的iframe。然後,用戶在iframe內進行身份驗證,完成他的工作,當他離開iframe時,他的會話關閉。我們已經準備好了,而且非常光滑。在iframe中有一個登錄對話框是一個壞主意嗎?
我們主要關心的是網絡釣魚。用戶現在已經完全明白登錄頁面的來源。另一方面,即使用戶可以在地址欄中看到僞造的url,phising攻擊也是成功的。
你會在iframe中輸入你的(OpenId)證書嗎?有沒有人知道一種模式,我們可以儘量減少網絡釣魚攻擊的可能性?
用戶現在絕對可以將登錄頁面真正來自何處。
有辦法解決這個問題,通過讓用戶選擇一個祕密,真實的登錄頁面可以顯示回來標識自己。通常這是通過容易識別的圖片完成的。
但這不是唯一的問題。如果你允許你的登錄頁面被構建(並且用戶期望這樣做),你也可以開始點擊劫持攻擊。第三方網站可以構建您的登錄頁面,然後在其上面創建自己的HTML元素position: absolute。元素像直接輸入你的頂部,嗅探每個按鍵來獲取密碼。
您可以允許一個簡單的「開始登錄過程」按鈕進行構建,也可以是用戶名/標識符,但是輸入密碼的表單必須在其自己的瀏覽器窗口中打開(在主窗口中或在彈出窗口中)帶有自己的地址欄和SSL指示器。
你會在iframe中輸入你的(OpenId)證書嗎?
善良沒有。
我會建議不要使用IFrame,因爲他們擊敗可訪問性,seo和語義,除非你想要那些被擊敗。如果您要求人們通過IFrame登錄,那麼您有一定的可訪問性障礙,在某些國家可能會被視爲具有法律歧視性。
很好的解釋*爲什麼*允許在'iframe'內登錄是一個壞主意! – ObscureRobot 2012-09-08 22:36:30