Google 如何做到这一点？ +1 小部件脱离了 iframe？

Question

不知何故，将鼠标悬停在 Google+ 加一小部件上可以引入工具提示类型的交易，该交易明显大于包含它的 元素。我检查了 DOM 来确认这一点。*

那么：

1. 什么？怎么办！？

2. 如果被恶意使用，这不是一个巨大的点击劫持机会吗？ （想象一下有人对这些社交小部件进行中间人攻击！）

*更新：我看到的是工具提示 y 消息在一秒钟内、动态创建的 iframe .

Answer 1

Google +1 小部件是在您的网站上运行的 JavaScript，它正在构建 iframe。此 JavaScript 小部件在您网站的上下文中运行，因此不受 的约束iframe 的原始继承规则。因此，这个 JavaScript 小部件可以在父站点上设置它想要的任何 DOM 事件，即使它看起来只是一个简单的 iframe。

另一件事是，为什么 Google 使用 iframe？为什么不在页面上生成一个 div 呢？因为链接源自 iframe，所以可以在请求中嵌入 CSRF（跨站点请求伪造）令牌，并且父站点无法读取此令牌并伪造请求。因此，iframe 是一种反 CSRF 措施，它依赖于源继承规则来保护自身免受恶意父级的侵害。

从攻击的角度来看，这更像是 XSS（跨站点脚本）而不是 UI-Redress。您向 Google 授予对您网站的访问权限，他们可以劫持您用户的 cookie 或对您的网站执行 XmlHttpRequests（如果他们愿意的话）（但人们会起诉他们恶意且富有）。

在这种情况下，你必须信任谷歌，但谷歌不信任你。

有一些方法可以减轻这些网络错误对隐私的影响。

Answer 2

Google 使用 iFrame 来防止“标准 DIV 泄漏”。他们的闭包库对话框做了同样的事情。这可能只是为了防止其他内容渗入 +1 按钮。 http://closure-library.googlecode.com/svn /trunk/closure/goog/demos/dialog.html。