ポップアンダーウィンドウを介してクリックジャッキングから保護する方法は？

私はFirefoxでTab Mix Plusプラグインを使用して、すべてのポップアップ/新しいウィンドウをタブに変えるように構成しています。これにより、JavaScriptがタブをフォアグラウンド/バックグラウンドに移動することも防止されます。

さらに、スクリプトがウィンドウのサイズと位置を変更できないように構成することもできるため、正確な配置は不可能です。

他のブラウザにも同様のプラグインが存在する場合があります。

ブラウザには通常、内部ポップアップのクリックジャッキング保護が含まれています。たとえば、何をしているかを理解せずにダウンロードしたファイルを誤って開かないようにするためです。

ただし、説明するシナリオでは、保護の責任は[アクセスを許可]ボタンをホストするサイトにあります。 （この場合、Google）100％はありません ばかユーザープルーフソリューション。したがって、残念ながらこれの一部は、一般的なフィッシング対策の取り組みでなければなりません。 （Googleは悪意のあるサイトをデータベース化しようとしますが、これは反動システムです。）

クリックジャッキングの最も単純な形式は、もちろんページnavigation、または2つのクリックの最初のクリックによってトリガーされるプレーンポップアップです。ポップアップブロッカーは、ユーザーのクリックによってポップアップが直接トリガーされた場合は有効になりません。もちろん、ポップアップブロッカーはプレーンナビゲーションを停止しません。

サイトがそれを防ぐ方法はありますか？

1. Googleには、承認ボタンが機能し始めるまでの最小時間は含まれていますか？

2. Googleのページが2回目のクリックをキャッチするほど高速に読み込まれない場合があります。

pop-underテクニックは、ページが事前に読み込まれていることを確認するための賢い方法です。

1. ユーザーに何かをクリックしてもらいます。
2. 許可ページをポップアップし、すぐにself.focus()を呼び出して、悪意のあるサイトを前面に表示します。
3. 最初のクリックでpopup.focus()を前面に表示すると、2回目のクリックで[許可]がヒットします。

それはあなたが説明したシナリオですが、同じ起源のポリシーのため、実際には機能しません（ありがたいことに）、ポップアップが別のサイトにある場合、悪意のあるサイトが.focus()を呼び出すのを防ぎます。

残念ながら、次のように機能します

1. ユーザーに何かをクリックしてもらいます。
2. 「悪意のあるポップアップ」をポップアップします。
3. ユーザーに何か他のものをクリックしてもらいます。
4. 許可ページをポップアップし、すぐにself.focus()を呼び出して、「悪意のあるポップアップ」を前面に表示します。
5. 最初のクリックでself.close()を使用して「悪意のあるポップアップ」を取り除き、次に2回目のクリックで[許可]をクリックします。

サイトがそれを防ぐ方法はありますか？

1. 本当に簡単なのは、history.length == 1を確認することです。その場合、ポップアップで開かれたことがGoogleに認識されます。これは包括的な緩和策ではありません。

2. Googleは、Visibility API、および/またはself.onfocusおよびself.onblurイベントのいずれかを使用して、クリックが有効になるまでの最小時間を要求できます。 これは包括的な保護になると思います。しかし、ブラウザのサポートの対象となります。

Googleのロゴが他のポップアップによって非表示にされ、それによってユーザーをだますより複雑なシナリオを想像できます。

これを防ぐためにユーザーができることはありますか？

信頼できないサイトをダブルクリックしないように注意してください。実際、疑わしいサイトには近づかないでください。 ☺