[html] Как Google+ +1 виджеты выходят из своего iframe?



Answers

Google использует iFrames для предотвращения «протекающих стандартных DIV». Их диалог с библиотекой закрытия делает то же самое. Вероятно, это просто так, что другой контент не может попасть в кнопку +1. http://closure-library.googlecode.com/svn/trunk/closure/goog/demos/dialog.html .

Question

Каким-то образом, зависание над виджетами Google+ плюс один может ввести сделку типа всплывающей подсказки, которая явно больше, чем элемент <iframe> в котором он содержится. Я проверил DOM, чтобы подтвердить это. *

Так:

  1. Какие? Как!?

  2. Разве это не огромная возможность для clickjacking, если используется злонамеренно? (Представьте, что кто-то делает MITM для этих социальных виджетов!)

* Обновление. То, что я увидел, было то, что сообщение tooltip-y было во втором, динамически создаваемом iframe .




Links