security - 浏览器窗口弹出窗口 - 风险和特殊功能

Question

<强>1。弹出窗口到底存在什么安全风险？
新浏览器提供了阻止弹出窗口的设置(阻止时，具有事件弹出窗口的网站会向用户显示一条消息)。弹出窗口到底有什么安全风险？如果允许弹出窗口可以执行危险的操作，那么主窗口也可以。难道不是这样吗。我想我不知道弹出窗口的一些特殊功能。

<强>2。弹出窗口有什么特殊功能吗？
以 HDFC bank netbanking site 为例。整个网上银行 session 发生在一个新的弹出窗口中，用户既不需要手动编辑 URL，也不需要将 URL 粘贴到主浏览器窗口中。这是行不通的。此功能需要弹出窗口吗？它会提高安全性吗？ (之所以问这个问题，是因为该网站中的所有内容都围绕安全性展开 - 所以他们这样做也一定是有原因的)。否则他们为什么要在弹出窗口上实现整个网上银行？

<强>3。是否可以覆盖浏览器的弹出窗口阻止设置
最后，即使在浏览器设置中弹出窗口被阻止，HDFC 站点也会成功显示弹出窗口。那么，他们是如何做到的呢？这是浏览器黑客攻击吗？
看到这个 -

• 转到http://hdfcbank.com/
• 在“登录您的帐户”部分下，选择“HDFC Bank NetBanking”，然后点击“登录”按钮。

您可以验证即使弹出窗口被阻止/在浏览器设置中启用弹出窗口阻止程序，该网站也能够显示弹出窗口。

this question 的答案说如果在浏览器设置中阻止了弹出窗口，则无法显示弹出窗口。

已解决
最后以 Pointy 的解决方案和评论作为结论:

<a onclick="displayPopup();" href="#">
   Click here for a popup - this will appear even if popups are blocked in browser settings.
</a>

这是一个fiddle证明相同。

Answer 1

弹出窗口的“安全”风险是:

• 弹出窗口是一种著名的“网络钓鱼”技术。恶意网站可以使用弹出窗口来说服用户来自受信任网站的重要消息已被传递，并诱骗这些人点击进入某些恶意软件 URL(甚至可能只是点击本身就可能利用错误) )。是的，网站的主页也可以这样做，但是精心设计的弹出窗口可能会分散用户的注意力，并且可能不会与敌对的主页直接相关。

• 弹出窗口被许多不良网站利用作为“诱捕”用户并从本质上强制广告印象等的一种方式。在这方面，问题的安全方面实际上是用户对其控制权的安全性。自己的电脑和他们的浏览欲望。

当现代浏览器从由显式用户操作触发的事件循环启动时，将允许弹出窗口。因此，如果用户单击“帮助我!”时发生这种情况，在单独的窗口中打开网站的“帮助”部分是完全可以的(忽略网页设计最佳实践)。按钮。此外，网站使用页内“伪窗口”在不幸的访问者面前塞满内容已经变得很常见，而浏览器确实无法采取任何措施来阻止这种情况。

编辑 - 至于您的其他观点:

为什么网站将银行业务等“网络应用程序”放入单独的弹出窗口中？

我认为大多数使用单独浏览器窗口的网站(银行、保险公司和其他金融机构似乎真的很喜欢这样做)可能这样做是为了尝试控制其应用程序的浏览器“环境”。特别是，他们似乎喜欢摆脱“后退”按钮的想法，以此作为简化设计的一种方式。然而，浏览器窗口就是浏览器窗口，使用 window.open() 创建的窗口与任何其他浏览器窗口没有太大区别。

可以覆盖弹出窗口阻止程序设置吗？

没有。 HDFC 银行的例子就是一个很好的例子。 仅当您点击“登录”按钮时，才会出现弹出窗口。因为“单击”是一个明确的用户启动操作(与页面加载不同)，所以浏览器将允许弹出窗口。对于任何网站都是如此；银行不需要做任何特别的事情就可以发挥作用。您通常可以从“单击”事件处理程序中执行弹出窗口，但不能从 XHR 的状态更改处理程序之类的东西启动弹出窗口。