浏览器窗口弹出窗口 - 风险和特殊功能
1.弹出窗口的安全风险到底是什么?
新的浏览器提供设置来阻止窗口弹出窗口(阻止时,具有活动弹出窗口的站点向用户显示消息)。弹出窗口的安全风险到底是什么?如果允许弹出窗口可以执行危险的操作,那么主窗口也可以。情况并非如此。我想我不知道窗口弹出窗口的一些特殊功能。浏览器窗口弹出窗口 - 风险和特殊功能
2.弹出窗口的任何特殊功能?
以HDFC bank netbanking site为例。整个网络银行会话发生在一个新的窗口弹出窗口中,用户既不需要手动编辑URL,也不需要在主浏览器窗口中粘贴URL。这是行不通的。这个功能需要一个弹出窗口吗?它会提高安全性吗? (因为这个网站上的所有内容都是围绕安全性进行的 - 所以他们也必须这样做)。为什么否则他们会在一个弹出窗口上实现整个网络银行?
3.是否有可能重写浏览器的弹出窗口拦截设置
最后,HDFC网站succcessfully弹出显示,即使在浏览器设置弹出窗口被拦截的窗口。那么,他们如何做到这一点?这是一个浏览器黑客?
要看到这一点 -
- 去http://hdfcbank.com/
- 在“登录到您的帐户”部分中,选择“HDFC银行Net Banking时”,然后点击“登录”按钮。
您可以验证即使弹出窗口被阻止/弹出窗口阻止程序在浏览器设置中启用,该站点能够显示弹出窗口。
对this question的回答说,如果在浏览器设置中阻止弹出窗口是不可能的。
解决
根据该结束了与尖尖的解决方案和意见:
<a onclick="displayPopup();" href="#">
Click here for a popup - this will appear even if popups are blocked in browser settings.
</a>
这里是一个展示fiddle相同。
“安全”,从弹出窗口的风险任何实际的安全风险有:
弹出窗口是一个显着的“网络钓鱼”技术。敌对网站可以使用弹出窗口来说服用户从受信任的网站发出的重要消息已被传送,并诱骗这些人点击某些恶意软件URL(或者甚至可能只是点击本身可能会利用一个错误)。是的,网站的主页也可以这样做,但制作精良的弹出窗口可能会分散用户的注意力,并且可能不会直接与恶意主页关联。
弹出式窗口被许多不雅的网站利用作为“诱捕”用户并基本强制广告印象等的方式。在这方面,问题的安全方面实际上是用户对自己的控制的安全性电脑和他们的浏览需求。
现代浏览器将允许弹出窗口时,他们由明确的用户动作触发一个事件循环启动。因此,如果在用户单击“帮助我”时出现这种情况,那么完全可以(忽略网页设计的最佳做法)在单独的窗口中为您的网站打开类似“帮助”部分的内容。按钮。另外,网站使用页面内的“伪窗口”在不幸的访问者面前阻塞内容变得很常见,浏览器也无法阻止这种情况。
编辑 —为您的其他点:
网站为什么把自己的“Web应用程序”,如银行为独立的弹出窗口?
我认为,使用单独的浏览器窗口大多数网站(银行,保险公司和其他金融机构似乎真的很喜欢这个)可能做到这一点,使他们能够尽量控制自己的应用程序的浏览器的“环绕” 。特别是,他们似乎喜欢摆脱“返回”按钮的想法,以简化他们的设计。浏览器窗口是一个浏览器窗口,然而,使用window.open()创建的窗口与任何其他浏览器窗口没有多大区别。
可以覆盖弹出式窗口拦截器设置吗?
不是。那个HDFC银行的例子是一个很好的例子。当你点击“登录”按钮时,他们的弹出窗口出现只有。由于该“点击”是明确的用户启动操作(不同于比如说,页面加载),浏览器将允许弹出窗口。对于任何网站都是如此;银行不需要做任何特殊的工作。通常可以通过“单击”事件处理程序执行弹出窗口,但不能从类似XHR的状态更改处理程序那样启动弹出窗口。
感谢您的答案。请检查我更新的问题。我已经重新格式化了它。我现在更清楚我的问题的第一点。如果你能帮助我解决其他问题,这将会很好吗? – 2010-12-25 19:41:45
好的,我用更多的信息更新了我的答案。 – Pointy 2010-12-25 23:38:50
感谢您的进一步解释。但是当你说“一个浏览器窗口是一个浏览器窗口时,你的意思是”一个弹出窗口是一个浏览器窗口“,然而,使用window.open()创建的窗口与其他任何浏览器窗口没有太大的区别。” ?此外,感谢澄清弹出窗口阻止意味着阻止只在非显式用户操作的情况下(如页面加载)。直到今天,我甚至都不知道这一点,甚至在明确的用户行为案例中(比如点击某些事物)弹出阻塞会很有效。 – 2010-12-28 07:38:47