5

1.ポップアップのセキュリティリスクは正確には何ですか?
新しいブラウザは、ウィンドウポップアップをブロックする設定を提供します(ブロックすると、アクティブなポップアップがあるサイトはユーザーにメッセージを表示します)。ポップアップのセキュリティリスクは正確には何ですか?ポップアップを許可すると危険なことが実行される可能性がある場合は、メインウィンドウも実行できます。そうではありませんか。私はウィンドウポップアップのいくつかの特別な力について知らないと思います。

2.ポップアップウィンドウの特別な機能はありますか?
たとえば、HDFC銀行のネットバンキングサイトを考えてみましょう。ネットバンキングセッション全体が新しいウィンドウのポップアップで発生し、ユーザーはURLを手動で編集したり、メインのブラウザウィンドウに貼り付けたりすることはありません。それは動作しません。この機能にはポップアップウィンドウが必要ですか?セキュリティは向上しますか?(このサイトにあるものはすべてセキュリティを中心に展開しているので、彼らも理由でそれを行ったに違いありません)。そうでなければ、なぜ彼らはポップアップウィンドウにネットバンキング全体を実装するのでしょうか?

3.ブラウザのポップアップブロック設定を上書きすることは可能ですか
最後に、HDFCサイトは、ブラウザ設定でポップアップがブロックされている場合でも、ポップアップウィンドウを正常に表示します。それで、彼らはどのようにそれをしますか?それはブラウザのハックですか?
これを見るために-

  • http://hdfcbank.com/にアクセスします
  • 「アカウントへのログイン」セクションで「HDFC銀行ネットバンキング」を選択し、「ログイン」ボタンをクリックします。

ブラウザの設定でポップアップがブロックされている/ポップアップブロッカーが有効になっている場合でも、このサイトでポップアップを表示できることを確認できます。

この質問への回答は、ブラウザの設定でブロックされている場合、ポップアップウィンドウを表示することはできないということです。

解決済み
Pointyのソリューションとその下のコメントで結論付けられました:

<a onclick="displayPopup();" href="#">
   Click here for a popup - this will appear even if popups are blocked in browser settings.
</a>

これは同じことを示すフィドルです。

4

2 に答える 2

4

ポップアップウィンドウによる「セキュリティ」リスクは次のとおりです。

  • ポップアップウィンドウは、注目に値する「フィッシング」手法です。敵対的なサイトは、ポップアップを使用して、信頼できるサイトからの重要なメッセージが配信されたことをユーザーに納得させ、それらのユーザーをだましてマルウェアのURLにクリックスルーさせることができます(またはクリック自体がバグを悪用する可能性もあります)。はい、サイトのメインページでもそれを行うことができますが、巧妙に作成されたポップアップはユーザーの気を散らす可能性があり、敵対的なメインページに直接関連付けられていない可能性があります。

  • ポップアップは、ユーザーを「トラップ」し、本質的に広告の表示などを強制する方法として、多くの不快なサイトによって悪用されました。この点で、問題のセキュリティの側面は、実際には、ユーザーが自分のコンピューターとブラウジングの欲求を制御するセキュリティです。 。

最新のブラウザでは、明示的なユーザーアクションによってトリガーされたイベントループから起動したときにポップアップを使用できます。したがって、ユーザーが「ヘルプ」をクリックしたときに発生した場合は、別のウィンドウでWebサイトの「ヘルプ」セクションのようなものを開くことは(Webデザインのベストプラクティスを無視して)完全にOKです。ボタン。また、サイトがページ内の「疑似ウィンドウ」を使用して不幸な訪問者の前でコンテンツを妨害することは非常に一般的になり、ブラウザはそれを止めるために実際には何もできません。

編集—あなたの他のポイントに関して:

なぜサイトは銀行のような「Webアプリケーション」を別々のポップアップウィンドウに配置するのですか?

別々のブラウザウィンドウを使用するほとんどのサイト(銀行、保険会社、およびその他の金融機関はこれを本当に気に入っているようです)は、おそらくアプリケーションの「周囲」のブラウザを制御できるようにするためにそうしていると思います。特に、デザインを簡素化する方法として「戻る」ボタンを取り除くというアイデアが気に入っているようです。ただし、ブラウザウィンドウはブラウザウィンドウであり、で作成されたウィンドウwindow.open()は他のブラウザウィンドウとそれほど変わりません。

ポップアップブロッカーの設定を上書きできますか?

いいえ。そのHDFC銀行の例は良い例です。「ログイン」ボタンをクリックした場合にのみポップアップウィンドウが表示されます。その「クリック」は明示的なユーザー開始アクションであるため(たとえば、ページの読み込みとは異なり)、ブラウザーはポップアップウィンドウを許可します。これはどのサイトにも当てはまります。銀行はそれが機能するために特別なことをする必要はありません。通常、「クリック」イベントハンドラーからポップアップを実行できますが、XHRの状態変更ハンドラーなどからポップアップを起動することはできません。

于 2010-12-25T19:02:11.937 に答える
1

問題は、ポップアップが広告によく使われ、ユーザーを苛立たせることだと思います。ポップアップブロッカーに問題があるため、できる限りポップアップを避ける必要があります。私自身、特にポップアップに関連する実際のセキュリティリスクについて聞いたことがありません。

于 2010-11-20T12:31:30.810 に答える