Elvileg ha a login ablak külön iframe-ben van, az elég lehet az ilyen támadások ellen. Mondjuk nem tudom a user honnan tudja, hogy az egy külön bankos iframe, vagy egy rosszindulatú szkript által generált oldalrész, ami loginnek álcázza magát?