网络钓鱼和CSS位置:绝对

Question

CSS position:absolute规则是如何帮助网络钓鱼的？

谁能帮帮我，我很困惑：

Answer 1

查找名为“覆盖页面内容”here的部分。

这并不是说绝对定位“有助于”网络钓鱼，就像汽车“帮助”酒后驾车一样。但它是一个可能被用于恶意目的的工具。

例如，假设您正在运行一个网站，用户可以在该网站登录并发表评论。还可以说，您没有正确地清理您的输入和输出，并且用户确定他可以将纯HTML内容发布到他自己的内容中。他决定制作一篇文章，其中包括一个绝对定位的div，它完全模拟了你的登录表单，并放置在它的顶部，模糊了你的表单。他的新表单将登录凭据发布到他的站点，而不是您的站点，并将用户重定向回您的页面。

用户不怀疑有任何更改，输入他们的登录凭据。它们再次显示相同的页面。也许他们再次尝试，也许他们点击了“忘记密码”，也许他们放弃了，等等。无论哪种方式，他现在都有他们的登录凭证。你的用户中有没有人在你的网站上注册时使用了他们登录电子邮件时使用的相同的凭据？他们的雇主？他们的银行？

基本上，一个不安全的网站和一些精心制作的绝对定位内容的组合损害了用户的利益。

Answer 2

网络钓鱼的重点是通过欺骗用户我们是合法的/ xss等来提取信息。

位置绝对允许你打破这个位置，做任何事情，想想你会如何用它来愚弄用户。

这条规则本身并不糟糕，也不是罪魁祸首，而是网站和用户本身的安全。

我没有给你答案，但如果你不懒，你可以在这里找到答案