一种有趣的安全隐患——界面劫持

这是一个演示链接： https://www.kindjeff.com/static/for_fun/v2ex_0.html

在这个链接里点击按钮之后，再来看我的 V2EX 主页： https://www.v2ex.com/member/kindjeff

会发现特别关注了我。思路很简单但是很有效。

eastpiger

2017-02-28 21:30:18 +08:00

看起来很厉害的样子。

除了我并没有发现特别关注了你呢

shiny

2017-02-28 21:34:41 +08:00

报错了：[Error] Blocked a frame with origin "https://www.v2ex.com" from accessing a frame with origin "https://www.kindjeff.com". Protocols, domains, and ports must match.

binux

2017-02-28 21:39:06 +08:00

acmetal

2017-02-28 21:47:53 +08:00

V2 应该本来就有防止被 iframe 的 js ，只不过。。。。

kindjeff

2017-02-28 21:48:13 +08:00

@binux 不是的， V2EX 的特别关注链接后面的 t 参数需要是点击者的注册日期～界面劫持其实比这个更简单。

kindjeff

2017-02-28 21:49:02 +08:00

@acmetal 浏览器不错， 23333 。我的 chrome 和同学的 edge 都是一片白。

Mutoo

2017-02-28 22:10:51 +08:00

Anything with <frame> and <iframe>. A site can use the X-Frame-Options header to prevent this form of cross-origin interaction.
https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy

kindjeff

2017-02-28 22:18:31 +08:00

之后失败的各位可以回复一下浏览器版本号。以及分辨率……
成功的也可以回一下。

imlonghao673

2017-02-28 22:29:07 +08:00

clickhijacking
几年前看过用来做吸粉的

whoops

2017-02-28 22:31:25 +08:00

@kindjeff chrome 版本 58.0.3018.3 （正式版本） unknown （ 64 位）
3653x2400

xxxoooooxx

2017-02-28 22:32:14 +08:00

chrome 阻止了第三方 cookie ，没反应

terence4444

2017-02-28 22:40:18 +08:00

Firefox 无效，本来以为是我用了防跨站的 RequestPolicy ，后来把这个插件关了也是一样的。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.