Généralement ce type de boutons fonctionnent via une iframe, donc il y a moins de limitations lorsqu'on est à l'intérieur de la frame. Et puis l'AJAX cross-domain ça existe et ça fonctionne plutôt pas mal. Autant dire que tout est permis... Il n'y a même plus besoin d'héberger la page de l'attaque.
L'idée n'est pas bête mais je ne pense pas que ça puisse marcher. Si par "certificats" tu veux dire "certificats SSL" alors ça ne devrait pas fonctionner car ici le protocole utilisé est "data" et non pas "https", donc pas de certificat à vérifier. Et puis je ne sais pas en détail comment fonctionne la certification SSL, mais il ne me semble pas que le certificat soit inclus dans la page directement. Il y a peut-être une info dans les header, mais si c'est le cas, dans cet exemple on agit uniquement sur le contenu de la page et non pas les headers, donc impossible de tromper le navigateur (si quelqu'un a des infos plus précises à ce sujet je suis preneur).
Partager