Всплывающие окна в браузере - риски и особенности

Question

1. Что именно представляет собой риск безопасности для всплывающих окон?
Новые браузеры предоставляют настройки для блокировки всплывающих окон (при блокировке сайты с активными всплывающими окнами отображают сообщение для пользователя). Что именно представляет собой риск безопасности для всплывающих окон? Если разрешить всплывающие окна могут выполнить что-то опасное, то и главное окно тоже. Разве это не так. Я думаю, что не знаю о некоторых особых способностях всплывающих окон.

2. Какие-нибудь особенности всплывающих окон?
Возьмем, к примеру, сайт банковской сети HDFC . Весь сеанс сетевого банкинга происходит в новом всплывающем окне, и пользователь не редактирует URL-адрес вручную и не вставляет его в главное окно браузера. это не работает. Нужно ли всплывающее окно для этой функции? Улучшает ли это безопасность? (Спросите, потому что все, что есть на этом сайте, вращается вокруг безопасности - поэтому они, должно быть, тоже сделали это по определенной причине). Почему иначе они реализовали бы весь сетевой банкинг во всплывающем окне?

3. Можно ли переопределить настройки блокировки всплывающих окон браузера
Наконец, сайт HDFC успешно отображает всплывающее окно, даже когда в настройках браузера всплывающие окна заблокированы. Так как они это делают? Это взлом браузера?
Чтобы увидеть это -

• перейти к http://hdfcbank.com/
• В разделе «Вход в свою учетную запись» выберите «HDFC Bank NetBanking» и нажмите кнопку «Вход».

Вы можете убедиться, что даже если всплывающие окна заблокированы / в настройках браузера включена блокировка всплывающих окон, этот сайт может отображать всплывающие окна.

Ответы на на этот вопрос говорят, что невозможно отобразить всплывающие окна, если они были заблокированы в настройках браузера.

решаемые
Заключено с решением Пойнти и комментариями под этим:

<a onclick="displayPopup();" href="#">
   Click here for a popup - this will appear even if popups are blocked in browser settings.
</a>

Вот скрипка , демонстрирующая то же самое.

Answer 1

«Безопасность» от всплывающих окон:

• Всплывающие окна являются заметной "фишинговой" техникой. Враждебные сайты могут использовать всплывающие окна, чтобы убедить пользователей в том, что доставлено важное сообщение с доверенного сайта, и обманом заставить этих людей перейти по некоторому вредоносному URL-адресу (или, возможно, даже сам клик может использовать ошибку) , Да, главная страница сайта тоже может это сделать, но хорошо продуманное всплывающее окно может отвлекать пользователя и не может быть напрямую связано с враждебной главной страницей.

• Всплывающие окна использовались многими сомнительными сайтами как способ «заманить в ловушку» пользователей и, по существу, заставить рекламные показы и т. Д. В этом отношении аспект безопасности проблемы на самом деле заключается в обеспечении контроля пользователя над их собственный компьютер и их желания просмотра.

Современные браузеры допускают всплывающие окна , когда они запускаются из цикла событий, запускаемого явным действием пользователя. Таким образом, вполне нормально (игнорируя лучшие практики веб-дизайна) открывать что-то вроде раздела «Справка» для вашего сайта в отдельном окне, если это происходит, когда пользователь нажимает кнопку «Помогите мне!». кнопка. Кроме того, для сайтов стало обычным делом использовать внутристраничные «псевдо-окна» для блокировки контента перед незадачливыми посетителями, и браузеры действительно не могут ничего сделать, чтобы остановить это.

изменить & mdash; что касается других ваших пунктов:

Почему сайты помещают свои "веб-приложения", такие как банковские операции, в отдельные всплывающие окна?

Я думаю, что большинство сайтов, которые используют отдельные окна браузера (банки, страховые компании и другие финансовые учреждения, кажется, действительно любят это), вероятно, делают это так, чтобы они могли пытаться контролировать "окружение" браузера своего приложения. В частности, им, похоже, нравится идея избавиться от кнопки «Назад», чтобы упростить их дизайн. Однако окно браузера - это окно браузера, и окно, созданное с помощью window.open(), не сильно отличается от любого другого окна браузера.

Можно ли изменить настройки блокировщика всплывающих окон?

Нет. Этот пример банка HDFC хороший. Их всплывающее окно появляется только , когда вы нажимаете кнопку «Войти». Поскольку этот «щелчок» является явным действием, инициируемым пользователем (в отличие, скажем, от загрузки страницы), браузер разрешит всплывающее окно. Это будет верно для любого сайта; банку не нужно делать ничего особенного, чтобы это работало. Обычно вы можете создавать всплывающие окна из обработчиков событий «щелчка», но вы не можете запустить всплывающее окно из чего-то вроде обработчика изменения состояния из XHR.

Answer 2

Я считаю, что проблема в том, что всплывающие окна часто используются для рекламы, и они раздражают пользователя.Вы должны избегать всплывающих окон, где вы можете, из-за проблем с блокировщиками всплывающих окон.Сам я никогда не слышал ни о каком фактическом риске безопасности, конкретно связанном с всплывающими окнами