Открыть страницу Facebook в фрейме или фрейме?

Question

Я хочу, чтобы две страницы Facebook открывались одновременно как часть моей html-страницы. Поэтому, когда вы зайдете на страницу mypage.html, там будут отображаться две страницы Facebook. Возможно ли это?

Я получаю что-то вроде:

с кодом типа:

<frameset cols="25%,75%">

или

<iframe height="*" src="http://www.facebook.com/photo.php?fbid=10150277739848763&set=pu.105012493762&type=1&theater" width="100%">
    <p>Your browser does not support iframes.</p> </iframe>

Answer 1

Я работаю в команде безопасности Facebook и фактически помог написать код, который вызывает это.Мы делаем это ( в форме перебора фреймов ), чтобы предотвратить атаки с использованием кликбека , когда злоумышленник может поместить Facebook в фрейм, скрыть его и заставить пользователя нажать на фрейм Facebook ипредпринять какие-либо действия (например, опубликовать вредоносную ссылку на свой профиль и т. д.).

Хотя ответ Джейсона идет в правильном направлении, неверно, что браузеры предоставят вам доступ к DOM страницы, в которую вы вставляетеiframe на вашей странице. Одинаковая политика происхождения гласит, что javascript в одном домене не может получить доступ к чему-либо на странице в другом домене.

Answer 2

Facebook не позволяет напрямую связываться с реальным сайтом через IFRAME (или через любой фрейм).Это связано с тем, что любой сайт, помещающий Facebook в IFRAME (или любой фрейм), может использовать Javascript для доступа к элементам страницы facebook, включая поля имени пользователя и пароля.

Обойти это невозможно.Он встроен в сами браузеры для отправки некоторой информации в заголовок запроса, в которой говорится, что его просят поместить в рамку.

Gmail и некоторые другие сайты также делают это.

Answer 3

Существуют конкретные ситуации, в которых полезно переопределение политики безопасности «x-frame-options», например, в цифровых вывесках, где желательно отображать страницу facebook организации в фрейме вместе с другими фреймами вывесок.

Clickjacking и фишинг не произойдут, потому что организация отображает свою собственную страницу facebook на своих собственных дисплеях, управляемых браузером.

Если браузер не предоставляет внутреннее переопределение x-frame для своих флагов about: flags"страница, вам может потребоваться установить расширение для браузера, чтобы переопределить параметры x-frame на устройстве вывесок.