通过iFrame、Pop-up或重定向登录有什么安全差别吗？

Question

似乎有许多技术可以在网络上验证一个人。最常见的是

• Javascript Pop-up (Google、Firefox人物角色、Disqus等)
• HTTP重定向(OAuth，Facebook)
• IFrames，根据需要设置沙箱。

问题

有一种方法比其他方法更安全吗？有什么取舍？

想想看，我认为Facebook可能同时提供OAuth重定向和基于JS的弹出窗口。

Answer 1

Iframes是危险的，因为用户没有简单的方法来验证嵌入的页面确实是facebook.com，而不是一些钓鱼页面。根据其设置方式，允许嵌入也可能启用敲击。

使用弹出窗口与重定向当前页面只是用户体验的问题，对安全性没有影响。

Answer 2

对于弹出窗口的问题，安全问题相对于UX问题而言少了一些。许多浏览器和它们的防扰插件可能会阻止弹出窗口按预期工作。重定向往往更干净，特别是在手机和平板电脑等移动设备上。