mobile 站点没有,那么攻击者能够通过 mobile 站点来攻击桌面浏览器。例如,如果用户通 过桌面浏览器登录到了 web 邮件站点,攻击者使用桌面浏览器能够攻击该 web 邮件站点的 mobile 版本,从而使用受害者的邮箱了发送邮件。 很显然,只要用户浏览器支持 frame busting,那么 mobile站点就该使用 frame busting。 如果这点无法实现,那么至少网站不应该在主站点和 mobile 站点间共享会话。 攻击 Facebook:Facebook采用了一种有趣的 frame busting 防御机制。当该机制启用时, 该站点会设置一个黑暗的透明 div 在页面之上,如图 3 所示。该 div 使得用户可以看到页面 内容,但是在该 div 上的任何点击都使得前端窗口导航到 Facebook 的主站点。我们在下一 节阐述了虽然该 frame busting 防御机制能够抵挡传统的 clickjacking 攻击,但是攻击者然仍
能够获取用户的隐私信息。我们的技术使用了 Stone’s scrolling 技术。我们使用框架页面上
|
