首页 > 其他分享 >【漫画详解】用iframe障眼法,骗取用户点击

【漫画详解】用iframe障眼法,骗取用户点击

时间:2023-06-08 17:32:09浏览次数:45  
标签:用户 障眼法 详解 iframe 按钮 去掉 我们 页面


  做过Web开发的朋友曾经都有过这么个念头:在自己的页面里内嵌一个其他网站的网页,然后可以用脚本去获取他们页面里的信息,甚至可以。。。

  显然,有这么好的事也肯定轮不到你来尝了:)一个叫沙箱模型的东西被发明出来,就是防止有这种想法的人搞破坏。。。所以现在的我们只能远观,不可亵玩也。

  

【漫画详解】用iframe障眼法,骗取用户点击_背景图片

  

  不过,这些规定只是针对脚本而已。假如让用户自己乖乖的去点,那当然是没问题的。但有多少人会去点呢!!

  所以,我们需要施一些特殊的障眼法,让用户在不经意间,就点了我们想让他点的东西:)

  就拿上面那个来说吧,如果直接把这个大页面赤果果的硬塞进网页,无论你怎么提示他点,或者说多少好话,大家见了就烦,就是不点:)

  

【漫画详解】用iframe障眼法,骗取用户点击_css_02

 

  所以说,我们必须得修饰修饰,不然人家见了就吓跑了。首先也是最关键的就是这身材问题,突然冒出个这么肥硕的一个页面,看的人眼花缭乱,不知道 发送什么情况啦。我们要好好修剪一下,把没用的部分统统去掉,只留下我们想要的“精华”。这个简单,只要把框架先放到一个层里面,然后把层的尺寸固定好, 最后调整下框架的偏移位置,朝左上方移,正好让“加关注”完全显示在层里面。(用css的clip属性就更简单了,不过有些浏览器不支持)

【漫画详解】用iframe障眼法,骗取用户点击_Web_03

   

  这样一来,庞大的微博页面,只露出我们希望用户点的那个“按钮”了。但这几个字还是会让用户知道我们的意图,所以必须去掉。要修改iframe 的内容当然是不可能的,但上面放些文字或图片,那框架就被覆盖,收不到事件了。不过别急,我们仅仅是要让用户看不到“加关注”这几个字而已,并不一定要真 正的去掉。所以,我们只需给iframe设置一个很小很小的透明度,让他“看不见却摸得着”。

  最后,就差粉饰粉饰了。我们给div设置一个背景图片,里面画着“关闭广告”,或者“不再提示”之类的,让用户觉得点了有意义的按钮。

  

【漫画详解】用iframe障眼法,骗取用户点击_背景图片_04

  若是嫌这个按钮太小,没有吸引用户去点的魅力,那么不难。我们只需用zoom(或transform: scale)属性放大一下iframe就行了,根据放大的比例,调整下裁剪的区域,OK。

  

【漫画详解】用iframe障眼法,骗取用户点击_背景图片_05

  

  哈哈,够土的办法!要是再装饰装饰,放到某个页面里,有时还真能做些事儿,尤其是页面里一些不需要用户确认的操作,只要对应的按钮位置是固定的话,就很容易中了这圈套。

 

  当然从防范角度来考虑,在一些重要的操作里,最好能判断是否被嵌套在人家的页面里。若不能,则需要个验证码验证,哪怕是个提示对话框,也能防住这类弱智的骗局。

 


标签:用户,障眼法,详解,iframe,按钮,去掉,我们,页面
From: https://blog.51cto.com/u_8895844/6441726

相关文章

  • 转:Http详解-下
    转自:https://juejin.cn/post/71495493492890665045.未来5.1HTTP/2特性概览HTTP有两个主要的缺点:安全不足和性能不高。通过引入SSL/TLS在安全上达到了“极致”,但在性能提升方面却是乏善可陈,只优化了握手加密的环节,对于整体的数据传输没有提出更好的改进方案,还只能依赖于“......
  • grep命令详解
    如果你是一个新手,请从头阅读这篇文章,如果你只是忘记了grep命令的一些常用选项,直接查看文章尾部的总结部分即可。 先说说grep命令能做什么?我们可以使用grep命令在文本中查找指定的字符串,就像你在windows中打开txt文件,使用快捷键“Ctrl+F” 在文本中查找某个字符串一样,说白了,......
  • Ubuntu下制作deb包的方法详解
    http://t.csdn.cn/ApH7uhttps://blog.csdn.net/gatieme/article/details/52829907#:~:text=Ubuntu%E4%B8%8B%E5%88%B6%E4%BD%9Cdeb%E5%8C%85%E7%9A%84%E6%96%B9%E6%B3%95%E8%AF%A6%E8%A7%A3%201%201%20%E8%AE%A4%E8%AF%86deb%E5%8C%85%201.1%20%E8%AE%A4%E8%AF%86deb%E5%8C%8......
  • 详解驱动开发中内核PE结构VA与FOA转换
    摘要:本文将探索内核中解析PE文件的相关内容。本文分享自华为云社区《驱动开发:内核PE结构VA与FOA转换》,作者:LyShark。本章将探索内核中解析PE文件的相关内容,PE文件中FOA与VA、RVA之间的转换也是很重要的,所谓的FOA是文件中的地址,VA则是内存装入后的虚拟地址,RVA是内存基址与当前......
  • 初学者必看!Mock.js 示例详解
    Mock.js基础用法介绍Mock.js是一个常用于生成随机数据和拦截Ajax请求的JavaScript库。本文将介绍Mock.js的用法,包括安装和基础用法,在开始前我们可以看下看:了解Mock.js的语法规范。安装可以通过npm安装Mock.js:npm install mockjs基础用法随机生成一个用户信息使用Mock.js可以很......
  • python爬虫技术实例详解及数据可视化库
    前言在当前数据爆发的时代,数据分析行业势头强劲,越来越多的人涉足数据分析领域。面对大量数据,人工获取信息的成本高、耗时长、效率低,那么是否能用代码去完成大量复杂的工作,从而从网络上获取到目标信息?由此,网络爬虫技术应运而生。本文目录,你将会看到网络爬虫简介网络爬虫(webcrawler,又......
  • jackson annotations注解详解(转)
    官方WIKI:https://github.com/FasterXML/jackson-databind/wikijackson1.x和2.x版本的注解是放置在不同的包下的1.x是在jacksoncorejar包org.codehaus.jackson.annotate下2.x是在jackson-databind包com.fasterxml.jackson.annotation下jackson的自动检测机制jackson允许使用任意......
  • JMeter常用功能及使用方法详解
    JMeter被广泛应用于软件性能测试,是一个开源的、纯Java编写的测试工具,其中包括了很多强大的功能。以下将重点介绍JMeter常用功能及使用方法。一、JMeter压力测试1.什么是JMeter压力测试?JMeter压力测试就是模拟多种负载条件并分析不同条件下系统(例如网站)的性能表现的过程。2.怎么做JM......
  • 18.详解AQS家族的成员:Semaphore
    关注:王有志,一个分享硬核Java技术的互金摸鱼侠。欢迎你加入Java人的提桶跑路群:共同富裕的Java人今天我们来聊一聊AQS家族中另一个重要成员Semaphore,我只收集到了一道关于Semaphore的面试题,问了问“是什么”和“如何实现的”:什么是Semaphore?它是如何实现的?按照我们的惯例,依......
  • CMU15445 (Fall 2020) 之 Project#1 - Buffer Pool 详解
    前言去年暑假完成了CMU15-445Fall2019的四个实验,分别对应下述博客:CMU15445(Fall2019)之Project#1-BufferPool详解CMU15445(Fall2019)之Project#2-HashTable详解CMU15445(Fall2019)之Project#3-QueryExecution详解CMU15445(Fall2019)之Proje......