一段时间以来,我一直在问自己,在进入视频或网站的全屏模式后,几乎所有现代浏览器中都会出现该弹出窗口的目的是什么。
它似乎是针对某种潜在威胁的安全措施,但它到底是什么?没有它可以执行哪些攻击场景?
“允许 __ 全屏显示?”
信息安全
Web应用程序
网页浏览器
html
2021-08-31 10:14:49
1个回答
这个问题主要是为了保护您免受网络钓鱼攻击。该网站可能会伪造操作系统,并要求您输入密码等敏感信息。引用规范:
用户代理应该确保,例如通过覆盖,最终用户知道某些东西是全屏显示的。用户代理应该提供一种退出全屏的方法,该方法始终有效,并向用户宣传这一点。这是为了防止站点在全屏时通过重新创建用户代理甚至操作系统环境来欺骗最终用户。
Feross Aboukhadijeh 也对这个问题进行了很好的讨论,他还描述了允许键盘输入的安全风险。