焰影
@kidmartian
分享
Mon, Sep 28, 2020 2:32 AM
@yftzeng_ - 用 #CSS 偷密碼 (Password)。 倘若網頁被偷放了這段,我們該怎麼防...
同作者的 FB 上有人留言防禦做法:
這手法要在 DOM 上塞屬性(attributes)進去才有效果,單純的打字應該是無法觸發的,所以防禦方式可以是:
1. type="password" 不要跟 value 屬性並存,實務上也沒看過有人在 password input 塞 value
2. 撇開截圖範例而是討論相似手法的攻擊的話,應該可以從 CSP 下手
焰影
@kidmartian
Mon, Sep 28, 2020 2:34 AM
CSS Steals Your Web Data
Hackday 在兩年前的警示
焰影
@kidmartian
Mon, Sep 28, 2020 2:36 AM
CSP (Content Security Policy)
CSP: img-src
載入新的回覆
同作者的 FB 上有人留言防禦做法:
這手法要在 DOM 上塞屬性(attributes)進去才有效果,單純的打字應該是無法觸發的,所以防禦方式可以是:
1. type="password" 不要跟 value 屬性並存,實務上也沒看過有人在 password input 塞 value
2. 撇開截圖範例而是討論相似手法的攻擊的話,應該可以從 CSP 下手