研究人员指出，目前各大浏览器的 Fullscreen API 并未明确规定第三方网站该如何触发全屏，因此黑客可以在相应钓鱼弹窗中加入一个假的“登录”按钮，用户点击后就会被偷偷切换到全屏，进而降低用户关闭全屏查看核对 URL 的概率。

这种攻击属于“中间人攻击”的一种变种。其核心方式是通过伪造登录弹窗页面，诱导用户输入账号和密码，从而实现信息盗取。当前主流浏览器，包括Chrome、Edge和Safari，均存在设计上的漏洞，可能被攻击者利用Fullscreen ...