在我的一些工作站上,我从不允许在 Firefox 中使用 Javascript。NoScript 插件安装在这些机器上,但我想删除它并about:config改为禁用 Javascript。然而,NoScript 似乎也可以防止点击劫持,据我所知,这种攻击不需要 Javascript 就可以成功。
在不安装任何插件的情况下,我可以做些什么来防止 Firefox 中的点击劫持?
编辑:
我正在寻找一种不需要安装插件但可以配置的解决方案 about:config
在不安装插件的情况下防止 Firefox 中的点击劫持?
信息安全
网页浏览器
火狐
点击劫持
2021-08-27 12:49:11
1个回答
Firefox 没有打开 iframe 的选项about:config,请参阅此错误报告。鉴于此问题在 15 年前首次报道,它也不太可能很快获得该选项。
您可以使用自定义 CSS ( iframe { display: none !important; }) 禁用没有插件的 iframe。这将通过 .cs 文件中的 CSS 文件完成/~/.mozilla/firefox/<random-id>.default/chrome/userContent.css。此设置不应通过网站 CSS 覆盖(但未来的 Firefox 版本当然可能允许网站覆盖自定义 CSS,这将允许攻击者绕过此设置)。
如果没有 iframe,ClickJacking 应该是不可能的(尽管可能有一种通过embed标签的方法,但它对我不起作用)。
就个人而言,我可能比这种方法更信任 NoScript,但如果你绝对不想安装插件,这可能是最好的方法。