Blocca finestra pop-up utilizzando il codice Javascript

1

Quando un utente immette le proprie credenziali nel modulo di accesso di un'applicazione Web, le credenziali possono essere violate tramite un'estensione malevola (installata dall'utente). Ora, supponiamo che l'estensione malevola voglia passare le credenziali compromesse al server dell'attaccante, è impedita attraverso la politica Stesso origine del web. Tuttavia, un altro modo per trasmettere le credenziali al server dell'aggressore è attraverso una finestra a comparsa in cui i dettagli acquisiti possono essere analizzati nell'URL e trasferiti al server dell'attaccante. La finestra può essere chiusa immediatamente. Anche se la possibilità di un tale attacco è minima e può essere facilmente vista dall'utente, non si può negare che non sia impossibile. In media, bastano 1,5 secondi per aprire e chiudere un pop-up in cui le credenziali possono essere passate all'attaccante. E se supponiamo che la finestra a comparsa sia molto piccola e configurata per il lancio su un lato dello schermo, l'utente non avrà alcuna idea di questo attacco.

Tuttavia, se le pagine web avevano un metodo per impedire la visualizzazione dei popup, questo attacco può essere prevenuto. Quindi, vorrei sapere se ci sono possibilità di bloccare i Pop-Up dall'apparire usando Javascript.

    
posta Viswa 07.06.2017 - 16:10
fonte

2 risposte

1

No, non è possibile impedire i popup all'interno di Javascript.

Now, suppose the malicious extension wants to pass the hacked credentials to the attacker's server, it is prevented through the Same-origin policy of the web.

Questo non è corretto. L'invio di dati incrociati è sempre possibile. Ad esempio, puoi inserire un tag immagine nella pagina con Javascript che ha un URL come link .

In generale, le estensioni del browser hanno più permessi e privilegi di Javascript in esecuzione su una pagina, quindi non c'è molto che si possa fare dalla pagina per proteggersi da estensioni dannose.

    
risposta data 07.06.2017 - 16:30
fonte
0

Un modo sicuro per bloccare i popup è specificare una sandbox utilizzando l'intestazione del criterio di sicurezza del contenuto.

Content-Security-Policy: sandbox allow-scripts;

Nella modalità sandbox sono disabilitate molte funzionalità, inclusi i popup:

allow-popups: Allows popups (like from window.open, target="_blank", showModalDialog). If this keyword is not used, that functionality will silently fail.

    
risposta data 08.06.2017 - 08:36
fonte

Leggi altre domande sui tag