Zabezpečení JavaScriptu je velký byznys a ze všech správných důvodů. JavaScript nám umožňuje dělat neuvěřitelné věci na frontendu, ale některé z těchto neuvěřitelných věcí jsou pro eval zlo. Spyjax býval jednou z těch zlých věcí, ale zdá se, že prohlížeče na to přišli. Jednou z technik, se kterou jsem se v poslední době setkal, je clickjacking – prezentovat odkaz jako jednu adresu URL, ale pak rychle změnit adresu URL, aby uživatele oklamal. Dovolte mi, abych vám ukázal, co jsem viděl.
Při návštěvě CNBC jsem občas přikázal + kliknul na odkaz na příspěvek, aby se otevřel v novém okně, ale Google Chrome to odmítl prostřednictvím blokování vyskakovacích oken. To mě zmátlo – spouštím „nativní“ akci, proč mě blokování vyskakovacích oken obtěžuje? Protože CNBC byla gangsta:
<a href="/some-url" onmousedown="this.href='/some-other-url';">Misleading Link Title</a>
href byl nastaven na jednu adresu URL, ale JavaScript dynamicky změnil hodnotu href na "špatnou" adresu po sjetí myší, čímž se cíl změní dříve, než ho uživatelé znali. Jedná se o neuvěřitelně stinnou praktiku s jediným možným účelem:hra na uživatele a možná i na vyhledávače.
Je působivé, že Chrome detekoval techniku CNBC a zablokoval kliknutí. Clickjacking by se mohl stát vážným problémem a v CNBC jsem ztratil hodně důvěry. Pokud se účastníte tohoto postupu, možná bude nejlepší přestat – prohlížeče jsou na vás.