- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
<强>1。弹出窗口到底存在什么安全风险?
新浏览器提供了阻止弹出窗口的设置(阻止时,具有事件弹出窗口的网站会向用户显示一条消息)。弹出窗口到底有什么安全风险?如果允许弹出窗口可以执行危险的操作,那么主窗口也可以。难道不是这样吗。我想我不知道弹出窗口的一些特殊功能。
<强>2。弹出窗口有什么特殊功能吗?
以 HDFC bank netbanking site 为例。整个网上银行 session 发生在一个新的弹出窗口中,用户既不需要手动编辑 URL,也不需要将 URL 粘贴到主浏览器窗口中。这是行不通的。此功能需要弹出窗口吗?它会提高安全性吗? (之所以问这个问题,是因为该网站中的所有内容都围绕安全性展开 - 所以他们这样做也一定是有原因的)。否则他们为什么要在弹出窗口上实现整个网上银行?
<强>3。是否可以覆盖浏览器的弹出窗口阻止设置
最后,即使在浏览器设置中弹出窗口被阻止,HDFC 站点也会成功显示弹出窗口。那么,他们是如何做到的呢?这是浏览器黑客攻击吗?
看到这个 -
您可以验证即使弹出窗口被阻止/在浏览器设置中启用弹出窗口阻止程序,该网站也能够显示弹出窗口。
this question 的答案说如果在浏览器设置中阻止了弹出窗口,则无法显示弹出窗口。
已解决
最后以 Pointy 的解决方案和评论作为结论:
<a onclick="displayPopup();" href="#">
Click here for a popup - this will appear even if popups are blocked in browser settings.
</a>
这是一个fiddle证明相同。
最佳答案
弹出窗口的“安全”风险是:
弹出窗口是一种著名的“网络钓鱼”技术。恶意网站可以使用弹出窗口来说服用户来自受信任网站的重要消息已被传递,并诱骗这些人点击进入某些恶意软件 URL(甚至可能只是点击本身就可能利用错误) )。是的,网站的主页也可以这样做,但是精心设计的弹出窗口可能会分散用户的注意力,并且可能不会与敌对的主页直接相关。
弹出窗口被许多不良网站利用作为“诱捕”用户并从本质上强制广告印象等的一种方式。在这方面,问题的安全方面实际上是用户对其控制权的安全性。自己的电脑和他们的浏览欲望。
当现代浏览器从由显式用户操作触发的事件循环启动时,将允许弹出窗口。因此,如果用户单击“帮助我!”时发生这种情况,在单独的窗口中打开网站的“帮助”部分是完全可以的(忽略网页设计最佳实践)。按钮。此外,网站使用页内“伪窗口”在不幸的访问者面前塞满内容已经变得很常见,而浏览器确实无法采取任何措施来阻止这种情况。
编辑 - 至于您的其他观点:
为什么网站将银行业务等“网络应用程序”放入单独的弹出窗口中?
我认为大多数使用单独浏览器窗口的网站(银行、保险公司和其他金融机构似乎真的很喜欢这样做)可能这样做是为了尝试控制其应用程序的浏览器“环境”。特别是,他们似乎喜欢摆脱“后退”按钮的想法,以此作为简化设计的一种方式。然而,浏览器窗口就是浏览器窗口,使用 window.open()
创建的窗口与任何其他浏览器窗口没有太大区别。
可以覆盖弹出窗口阻止程序设置吗?
没有。 HDFC 银行的例子就是一个很好的例子。 仅当您点击“登录”按钮时,才会出现弹出窗口。因为“单击”是一个明确的用户启动操作(与页面加载不同),所以浏览器将允许弹出窗口。对于任何网站都是如此;银行不需要做任何特别的事情就可以发挥作用。您通常可以从“单击”事件处理程序中执行弹出窗口,但不能从 XHR 的状态更改处理程序之类的东西启动弹出窗口。
关于security - 浏览器窗口弹出窗口 - 风险和特殊功能,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4232546/
https://github.com/mattdiamond/Recorderjs/blob/master/recorder.js中的代码 我不明白 JavaScript 语法,比如 (functio
在 iOS 7 及更早版本中,如果我们想在应用程序中找到 topMostWindow,我们通常使用以下代码行 [[[UIApplication sharedApplication] windows]
我已经尝试解决这个问题很长一段时间了:我无法访问窗口的 url,因为它位于另一个域上..有一些解决方案吗? function login() { var cb = window.ope
是否可以将 FFMPEG 视频流传递到 C# 窗口?现在它在新窗口中作为新进程打开,我只是想将它传递给我自己的 SessionWindow。 此时我像这样执行ffplay: public void E
我有一个名为 x 的矩阵看起来像这样: pTime Close 1 1275087600 1.2268 2 1275264000 1.2264 3 1275264300 1.2
在编译时,发生搜索,grep搜索等,Emacs会在单独的窗口中创建一个新的缓冲区来显示结果,有没有自动跳转到那个窗口的方法?这很有用,因为我可以使用 n 和 p 而不是 M-g n 和 M-g p 移
我有一个启动 PowerShell 脚本的批处理文件。 批处理文件: START Powershell -executionpolicy RemoteSigned -noexit -file "MyS
我有一个基于菜单栏的应用程序,单击图标时会显示一个窗口。在 Mac OS X Lion 上一切正常,但由于某种原因,在 Snow Leopard 和早期版本的 Mac OS X 上会出现错误。任何时候
在 macOS 中,如何在 Xcode 和/或 Interface Builder 中创建带有“集成标题栏和工具栏”的窗口? 这是“宽标题栏”类型的窗口,已添加到 OS X 10.10 Yosemit
在浏览器 (Chrome) 中 JavaScript: var DataModler = { Data: { Something: 'value' }, Process: functi
我有 3 个 html 页面。第 1 页链接到第 2 页,第 2 页链接到第 3 页(为了简单起见)。 我希望页面 2 中的链接打开页面 3 并关闭页面 1(选项卡 1)。 据我了解,您无法使用 Ja
当点击“创建节点”按钮时,如何打开一个新的框架或窗口?我希望新框架包含一个文本字段和下拉菜单,以便用户可以选择一个选项。 Create node Search node
我有一个用户控件,用于编辑应用程序中的某些对象。 我最近遇到一个实例,我想弹出一个新的对话框(窗口)来托管此用户控件。 如何实例化新窗口并将需要设置的任何属性从窗口传递到用户控件? 感谢您的宝贵时间。
我有一个Observable,它发出许多对象,我想使用window或buffer操作对这些对象进行分组。但是,我不想指定count参数来确定窗口中应包含多少个对象,而是希望能够使用自定义条件。 例如,
我有以下代码,它打开一个新的 JavaFX 阶段(我们称之为窗口)。 openAlertBox.setOnAction(e -> { AlertBox alert = AlertBox
我要添加一个“在新窗口中打开”上下文菜单项,该菜单项将以新的UIScene打开我的应用程序文档之一。当然,我只想在实际上支持多个场景的设备上显示该菜单项。 目前,我只是在检查设备是否是使用旧设备的iP
我正在尝试创建一个 AIR 应用程序来记录应用程序的使用情况,使用 AIR 从系统获取信息的唯一简单方法是使用命令行工具和抓取 标准输出 . 我知道像 这样的工具顶部 和 ps 对于 OS X,但它们
所以我有这个简单的 turtle 螺旋制作器,我想知道是否有一种方法可以打印出由该程序创建的我的设计副本。 代码: import turtle x= float(input("Angle: ")) y
我正在编写一个 C# WPF 程序,它将文本消息发送到另一个程序的窗口。我有一个宏程序作为我的键盘驱动程序 (Logitech g15) 的一部分,它已经这样做了,尽管它不会将击键直接发送到进程,而是
我尝试使用以下代码通过 UDP 发送,但得到了奇怪的结果。 if((sendto(newSocket, sendBuf, totalLength, 0, (SOCKADDR *)&sendAd
我是一名优秀的程序员,十分优秀!