Как реализовать загрузчик кадров?

Я ищу руководство, в котором описывается, как реализовать рабочий кадр, который также касается людей, которые не активировали JS в своем браузере.

Я прочитал этот очень хороший вопрос, но я абсолютно не заинтересован в каких-либо советах, таких как "не делай этого сам" или "возможно, попробуй...". Я хочу увидеть бумагу с шагом в руководство, объясняющим каждое "почему" (без, возможно, и без догадок). Предпочтение отдается академическим бумагам.

Может ли кто-нибудь опубликовать ссылку на де-факто священногравийную бумагу?

спасибо,

Ответ 1

Честно говоря, я думаю, что то, что вы описываете, невозможно. Исправьте меня, если я ошибаюсь, но это похоже на нарушение той же политики происхождения. Это документ де-факто Holdy-Grail о том, какие браузеры разрешают делать: http://code.google.com/p/browsersec/wiki/Main Обязательно прочтите раздел 2.

* EDIT: ClickJacking - это атака, которая обходит аспекты одной и той же политики происхождения в незашифрованных веб-браузерах. Попытка предотвратить все атаки, которые могут возникнуть из непроверенных браузеров, - это масштабное мероприятие, эпически предполагающее, что человек, скорее всего, уже взломан и кроме BotNet. Если вы действительно обеспокоены уязвимыми веб-браузерами, я рекомендую блокировать IE6 и ниже.

Ответ 2

В IE8 у вас http://blogs.msdn.com/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx (Так что сайт или страница, которая не хотела быть iframe, установила заголовок ответа X- FRAME-OPTIONS: DENY). Я также проверил это с Firefox 3.5.x в какой-то момент, и он сработал.

В противном случае связанная страница (http://coderrr.wordpress.com/2009/02/13/preventing-frame-busting-and-click-jacking-ui-redressing/) довольно точно описывает проблему и сколько крупных сайтов занимаются этим сегодня для некоторого подмножества их страницы, так как большое количество пользователей все еще находится на IE6 и т.д.