网络钓鱼和 CSS 立场：绝对

Question

CSS position:absolute 规则实际上如何帮助网络钓鱼？

有人可以帮我吗，我很困惑:(

Answer 1

此处查找名为“覆盖页面内容”的部分。

与其说绝对定位“帮助”网络钓鱼，不如说汽车“帮助”醉酒驾驶。但它是一个可用于恶意目的的工具。

例如，假设您正在运行一个网站，用户可以登录并发表评论。还假设您没有正确清理输入和输出，并且用户确定他可以随心所欲地发布纯 HTML 内容。他决定制作一个帖子，其中包含一个绝对定位的 div，它完全相同地模仿您的登录表单，并位于其顶部，遮盖您的表单。他的新表单将登录凭据发布到他的网站而不是您的网站，并将用户重定向回您的页面。

用户在不怀疑任何事情发生变化的情况下输入他们的登录凭据。他们再次看到相同的页面。也许他们会再试一次，也许他们会点击“忘记密码”，也许他们会放弃，等等。无论哪种方式，他现在都拥有了他们的登录凭据。您的任何用户是否使用与登录电子邮件相同的凭据在您的网站上注册？他们的雇主？他们的银行？

基本上，不安全的网站和一些精心设计的绝对定位内容的结合损害了用户。

Answer 2

网络钓鱼的要点是通过欺骗用户我们是合法的/xss等来提取信息。

绝对位置允许您突破位置并做所有事情，想想您将如何使用它来欺骗用户。

规则本身并不是坏事，也不是罪魁祸首，而是网站和用户本身的安全。

我没有给你答案，但如果你不懒的话，你会自己在这里找到答案