フォームを含むドメインのページを不明なドメインのページに埋め込んで、そのページの他の要素から DOM イベントを検出できるようにすることは可能ですか?
私が調査しようとしている問題は、悪意のある人物がページを埋め込み、埋め込みフォームの上に透明なフォームを配置することです (いわゆるクリックジャッキング)。
問題は、フォームがサードパーティの Web サイトに埋め込まれることを意図しているため、X-Frame-Option ヘッダーを使用して制限できないことです。ユーザーにドメインを登録するように依頼しても、悪意のあるユーザーがドメインを登録するだけで済みます!
したがって、keydown などの DOM イベントがフォーム コンポーネントに伝播するのを妨げられているかどうかを検出する方法を探していますが、クリア フォーム オーバーレイは兄弟要素であり、iframe の範囲外になるのではないかと心配しています。これを行う方法。
フレームバスティングの概念(ただし、埋め込みはフレーム内にあることを意図しています)と特定のドメインへのアクセスを制限する概念(ただし、前述のように、これは役に立ちません)を理解していますが、誰かが埋め込みを許可した経験があるかどうか疑問に思いますフォームの概要と、埋め込まれたフォームを保護する方法。