在GoogleReader里看到这么一篇文章: 《twitter 小气鬼,喝凉水...》,貌似之前订阅的某人的GAEblog.
内容倒是很好玩,核心议题是说twitter会检查自身是否被iframe,如果是,则将网页整体redirect到twitter本身.
但是很不幸的是, twitter并非没事吃饱了撑得, twitter是被攻击了,攻击者使用了一个透明的iframe指向 Twitter, 下面放的是一个button,当用户点击button时,实际上是在 Twitter 上进行了操作。同时该操作会复制此行为进行传播(具体细节请点击这里, 这里是yeeyan的翻译).
而twitter采用的是frame busting来阻止这种攻击, 点击这里查看frame busting.
内容倒是很好玩,核心议题是说twitter会检查自身是否被iframe,如果是,则将网页整体redirect到twitter本身.
但是很不幸的是, twitter并非没事吃饱了撑得, twitter是被攻击了,攻击者使用了一个透明的iframe指向 Twitter, 下面放的是一个button,当用户点击button时,实际上是在 Twitter 上进行了操作。同时该操作会复制此行为进行传播(具体细节请点击这里, 这里是yeeyan的翻译).
而twitter采用的是frame busting来阻止这种攻击, 点击这里查看frame busting.
Leave a comment