Un tale tipo di attacco è, per quanto ne sappia, classificato come un attacco CSRF (Cross-Site Request Forgery) e, in generale, non può essere difeso.
Non conosco un modo per configurare Firefox per bloccare questo tipo di attacchi, ma c'è (come hai detto) NoScript, che viene fornito con una bella funzionalità, ABE (Application Boundaries Enforcer) che ti permette di specificare quale i siti Web possono accedere a quali altri siti.
Puoi configurare ABE tramite Impostazioni - > Avanzate: > ABE. Qui puoi selezionare il set di regole USER, in cui puoi definire le regole che vuoi applicare.
Un esempio per bloccare tutti gli accessi che provano ad includere risorse ( <img>
, <script>
...) da renren.com e tutti i siti secondari, che non hanno avuto origine in renren.com o in un sito secondario :
Site .renren.com
Accept from .renren.com
Deny INCLUSION
Uno svantaggio di questo modo è che, se renren.com fornisce mezzi per incorporare immagini in altri siti web, anche questo sarebbe bloccato, ma probabilmente potrebbe essere risolto utilizzando Anonymize
, a tale scopo. Dall'altro lato, se vuoi essere ancora più restrittivo, puoi lasciare INCLUSION
, il che comporterà anche il blocco dei link e il reindirizzamento nei link su cui hai fatto clic.
La differenza tra le azioni Deny
e Anonymize
è che l'azione Deny
blocca completamente la richiesta mentre l'azione Anonymize
spoglia l'intestazione Autorizzazione e l'intestazione Cookie e trasforma tutte le richieste diverse da GET (cioè POST, HEAD, PUT ...) in richieste GET senza data. Il risultato è che il sito web (di solito) non può associare la richiesta a una sessione e /logout.do non può terminare la sessione, perché non sa a quale sessione avrebbe dovuto finire, ma le immagini sono incorporate in altre i siti web che non richiedono una sessione di lavoro verranno visualizzati. Uno svantaggio dell'azione Anonymize
è che non mostra mai una barra delle informazioni che NoScript abbia anonimizzato la richiesta, ma lo anonima in modo silente, quindi se stai usando Anonymize
e qualcosa non funziona come dovrebbe , prova a utilizzare Deny
, che mostrerà una barra delle informazioni nella parte superiore dello schermo se blocca qualcosa.
Se stai utilizzando un servizio diverso per accedere a renren.com come MSN, 360.cn, 189.cn o Baidu (elencati nell'ordine di apparizione su renren.com), quindi, con il solo blocco INCLUSION
potrebbe (piuttosto improbabile) essere che devi mettere una clausola Accept
(esempio: Accept from openapi.baidu.com
) anche per il sito corrispondente, se blocchi tutto allora tu dovrà metti uno nel set di regole.
Ulteriori informazioni su ABE sono disponibili qui .