各种钓鱼网攻击

首先一个Same origin policy概念

origin A的 JS是不能去碰origin B 网站的东西的。

但是黑客可以在网站的上面铺一层透明度为0的恶意页面。这样你以为你点下去的是好东西，其实你点的是恶意页面。

比如你输入银行卡密码，其实你是输给坏人的。

这里这个例子： 用户看到一个游戏页面，点击玩游戏，其实是把自己Twitter删除。

另一个例子：

比如我们email收到一个通知，说Paypal账号出现问题要你去处理。正常人都会点进去的。但是这个网页可能只是跟paypal长的一样，但是偷你的账号密码。

甚至连URL都可以高仿：

比如把/ ? 用国际character 来表示。

拿到用户一个账号密码，也许就可以打开他其他所有网站的密码。因为大部分人所有密码都差不多

很多网站都拿验证码来防黑客。但是首先，这些验证码被弄得连人都很难识别。其次，有些黑客可以人为来破解。 还有，现在许多验证码已经成为人工智能训练data，图像识别不是那么难了。