Open utterances-bot opened 8 months ago
Jeffrey0117
commented
8 months ago 我一直在想,這東西實際使用挺高門檻的吧?就假設我要騙訂閱好了,那麼後面假設能如期順利iframe放個訂閱按鈕,可是這東西的前提是user要先登入耶!這個登入的前提基本上是辦不到的,如果說是以釣魚網站手法騙登入,那成功了的話,clickjacking根本就已經無關緊要了XD
想不通這個的實行可能性。
因為大多數要點的東西,恐怕沒登入就沒多大意義?除非是想要所謂的點影片、文章衝衝人氣(???
Jeffrey0117
commented
8 months ago 啊忘了寫到點廣告,如果以上邏輯沒錯的話,恐怕最強的手段就只能是騙點廣告吧?
aszx87410
commented
8 months ago @Jeffrey0117
這個登入的前提基本上是辦不到的
這個要分成兩個時間點來談,在以前的話是很容易做到的,大部分的人網站登入之後是不會登出的,所以就算用 iframe 嵌入,也還是登入狀態
現在的話,確實像你講的很難,因為現在有了 default 的 SameSite cookie,用 iframe 在第三方網站嵌入的話,cookie 是不會帶上的,也就不是登入狀態。除非網站本身把 SameSite 設成 none,否則確實很難(但還是有這樣的網站)
不識廬山真面目:Clickjacking 點擊劫持攻擊 - Huli's blog
前言在針對前端的各種攻擊手法之中,我覺得 clickjacking 是相當有趣的一個。它的中文翻譯通常翻成「點擊劫持」,實際上的意思是你以為點了 A 網頁的東西,其實卻是點到了 B 網頁,惡意網頁劫持了使用者的點擊,讓使用者點到意料之外的地方
https://blog.huli.tw/2021/09/26/what-is-clickjacking/