Este tipo de ataque se clasifica, según mi conocimiento, como un ataque CSRF (falsificación de solicitudes en sitios) y, en general, no puede defenderse.
No conozco una forma de configurar Firefox para bloquear ese tipo de ataques, pero hay (como usted dijo) NoScript, que viene con una buena característica, ABE (Application Boundaries Enforcer) que le permite especificar cuál Los sitios web pueden acceder a otros sitios.
Puede configurar ABE a través de Configuración - > Avanzado - > ABE. Allí puede seleccionar el conjunto de reglas USUARIO, donde puede definir las reglas que desea aplicar.
Un ejemplo para bloquear todos los accesos que intentan incluir ( <img>
, <script>
...) los recursos de renren.com y todos los subsitios, que no se originaron en renren.com o en un subsitio :
Site .renren.com
Accept from .renren.com
Deny INCLUSION
Una desventaja de esa manera es que, si renren.com proporciona medios para incrustar imágenes en otros sitios web, eso también se bloquearía, pero probablemente podría solucionarse utilizando Anonymize
, para ese fin. Por otro lado, si desea ser aún más restrictivo, puede omitir INCLUSION
, lo que resultará en incluso el bloqueo de enlaces y redirecciones en los enlaces en los que hizo clic.
La diferencia entre las acciones Deny
y Anonymize
es que la acción Deny
bloquea completamente la solicitud, mientras que la acción Anonymize
elimina el encabezado de Autorización y el encabezado de la Cookie y convierte todas las solicitudes que no sean GET (es decir, POST, HEAD, PUT ...) en solicitudes GET sin datos. El resultado de esto es que el sitio web (generalmente) no puede asociar la solicitud con una sesión, y /logout.do no puede terminar la sesión, porque no sabe qué sesión tendría que finalizar, sino imágenes incrustadas en otros. Aparecerán los sitios web que no requieren una sesión para trabajar. Una desventaja de la acción Anonymize
es que nunca muestra una barra de información en la que NoScript anonimizó la solicitud, pero la anonimiza silenciosamente, por lo que si está utilizando Anonymize
y algo no funciona como debería , intente usar Deny
, que mostrará una barra de información en la parte superior de la pantalla si bloquea algo.
Si está utilizando un servicio diferente para iniciar sesión en renren.com como MSN, 360.cn, 189.cn o Baidu (enumerados en el orden de aparición en renren.com), entonces, con solo bloquear INCLUSION
puede (es bastante improbable) que tenga que poner una cláusula Accept
(ejemplo: Accept from openapi.baidu.com
) para el sitio correspondiente también, si bloquea todo, entonces tendrá que poner uno en el conjunto de reglas.
Más información sobre ABE está disponible aquí .