3
誰かが理論上、目に見えないiframeをコンテンツの上に配置して、誰かがフォームに入れたい入力を受け取ることができるという人がいると聞きました。どのようにこれが可能で疑いを持たないでしょうか?それは私を怖がらせる...HTML/CSS/JS:非表示のフォームがユーザーの入力を傍受することはできますか?
A
答えて
6
はいできます! クリックジャックと呼ばれています。詳細については、このチェックアウト:http://en.wikipedia.org/wiki/Clickjackingは
ミカルZalewski氏は、グーグルの、理論的に例があります(出典:Page 1、Page 2):
は、ドメインAの悪質なページが を指すIFRAMEを作成することができます ユーザが現在 クッキーで認証されたドメインBにおいて アプリケーション、「Zalewski氏は木曜日にメーリングリストにメッセージ で述べている。」 トップレベルのページは、他のビジュアルとIFRAMEの部分 をカバーすることができます 要素をシームレスに非表示にするには、ドメインBの1つのUIボタン「 」、「すべてのアイテムを削除」、 「Bobを友達として追加」などをクリックします。 は、 は、ボタンが 異なる目的を果たし、 サイトAの一部であり、ユーザーにクリックを促すことを意味します。
+0
+1 [NoScript](http://noscript.net)からクリックジャックについて学びました。 – BoltClock
+1
これは不気味です! – tekknolagi
1
これを行うには疑問がなければ、誰かが常に気付きます。標準ユーザーでない場合は、noscript(firefoxプラグイン)をダウンロードしてみることをおすすめします。個人的なホワイトリストに載っていないウェブサイトからjavascriptを実行できないようにします。これはあなたの心配の多くを緩和する必要があります!私は願います!私はそれが私に気分が良くなることを知っています。
0
可能性の領域では、多くの愚かなアイデアがあります。 :-)
理論上、フォームをハイジャックして入力をキャプチャする領域を配置できます。フォームを模倣するか、ユーザーがブラウザのセキュリティボックスの外に出るようにする必要があるので、これは簡単な演習ではありません。これを行うよりも、似たような形でフィッシングする方がはるかに簡単です。
誰かがclickjackingを言いました。クリックイベントを乗っ取っています。全体的に、これはフォームキャプチャとは異なりますが、フォームが埋め込まれたらボタンをカバーするために使用できますが、もう一度、フィッシング攻撃に似ています。この誤解がなければ、彼らはこの作業に必要なJavaScriptを注入できません。
あなたの本当の懸念は何ですか?誰かがあなたのサイトにヒットし、他のサイトがなくてもハイジャックされることがありますか?ありそうもない。人々はだますことができます。 PT Barnumは、毎日生まれている人がいると教えてくれました。
関連する問題
- 1. 傍受し、サーバーとユーザーの入力を承認する方法
- 2. まだユーザー入力を受け取っている非表示のフラグメント
- 3. 入力フォームの横にある非表示のアイコンを表示します。
- 4. テキストフィールドのユーザー入力に基づくチェックボックスを非表示/表示
- 5. 登録していないユーザーからフォームを非表示にすることはできますか?
- 6. winformsアプリケーションは、フォーカスを持たずにユーザー入力を受け入れることができますか?
- 7. ユーザーがログインしたときの登録フォームとログインフォームを非表示にする
- 8. ユーザーのカスタムアクションステータスを表示することはできますか?
- 9. HTMLフォームまたは入力の枠線を非表示にする
- 10. ローカルネットワーク外のデータを傍受することはできますか?
- 11. 入力フォームを再入力するときに、codeigniterコントローラの変数が表示テンプレートにアクセスできない
- 12. グループボックスを非表示にすることはできますが、内容は表示できますか?
- 13. ユーザー入力によりフォームが表示される
- 14. フレックスとバイソンは他のソースからの入力を受け入れることができますか?
- 15. jquery特定のテキストフィールドが入力されるまで特定のフォーム要素を非表示にしますか?
- 16. AngularJS - モーダルウィンドウを表示/非表示にすることはできますか?
- 17. Microdataはフォーム入力で項目を表示しますか?
- 18. UIPickerViewユーザーの選択を傍受する
- 19. コンボボックスは、リストアイテムを表示するときに、マウスイベントをフォームのどこにでも傍受してリストを隠すにはどうすればいいですか?
- 20. スクロールバーを非表示にすることはできますが、オーバーフローを防ぐことはできますか?
- 21. 入力が空でないときに選択タグを非表示にする
- 22. ユーザー入力を再表示する
- 23. フォームにドロップダウン選択に基づく非表示入力を出力する
- 24. Djangoは非表示の入力フィールド
- 25. フォームの入力フィールドに基づいてdivを表示/非表示
- 26. Settings.bundleのフィールドを非表示/非表示にすることはできますか?
- 27. プロパティの代入を傍受するInvalidCastException
- 28. はPyDict_NewをLD_PRELOADで傍受することはできません
- 29. Androidのフォームからユーザー入力を取得できません
- 30. 私はwatinを使用してExcelシートからの入力を受け入れることができます
怖がらないでください。私たちはあなたのためにここにいる! – BoltClock
これはHTML/CSSだけに限定されません。私はフラッシュもこれに採用できると信じています。 –