Ну, на Facebook у них, кажется, есть блок, который не позволяет вам загрузить iframe их веб-сайта.
Когда вы это сделаете, они полностью заблокируют функциональность своего веб-сайта пример.
Мне просто интересно, знает ли кто-нибудь, как можно обойти это?
Если бы они этого не предотвратили, злоумышленник мог бы загрузить страницы Facebook в прозрачный iframe и подложить под него что-нибудь интересное. Предположим, жертва авторизовалась в Facebook, а затем зашла на сайт злоумышленника (через некоторое время в другой вкладке).
Жертва нажмет на что-то на сайте злоумышленника. Но на самом деле это щелчок по прозрачному iframe и запуск некоторых действий на сайте facebook. Браузер, конечно, отправит файл cookie сеанса в Facebook, и Facebook увидит законное действие вошедшего в систему пользователя.
В Википедии есть статья о Clickjacking: http://en.wikipedia.org/wiki/Clickjacking.
Эту атаку можно предотвратить с помощью неофициального http-заголовка X-Frame-Option, как описано на http://www.webmasterworld.com/webmaster/4022867.htm К сожалению, не все браузеры поддерживают его, поэтому также требуется java-скрипт разрыва кадров.
Если вы сможете это сделать, Facebook столкнется с серьезной угрозой безопасности.
Я говорю, забудьте об этом, даже если метод будет найден, facebook скоро заблокирует его, и тогда метод не сработает.
Если только вы не делаете что-то непослушное и вам нужно только то, что работает сейчас.
