iframe页面嵌套,浏览器提示XXS跨脚本攻击被拦截

最新推荐文章于 2023-12-12 15:01:17 发布
最新推荐文章于 2023-12-12 15:01:17 发布
阅读量2.4k 收藏
点赞数
分类专栏: html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qilin001cs/article/details/79108341
版权
Chrome下出现:
  The XSS Auditor refused to execute a script in 'http://192.168.16.53/ads/index/viewPostion' because its source code was found within the request. The auditor was enabled as the server sent neither an 'X-XSS-Protection' nor 'Content-Security-Policy' header.

情景:当你在一个页面里输出了一段 html代码 而该html代码里含有一个http的请求;
 例如:
我要把以下这段代码直接在viewPostion 页面中输出   
<!--ad100广告位 营销广告路由-->
<iframe style="overflow:hidden; 
               width:320px;
               height:100px;
               position:fixed;
               left:0px;
               top:0px;
               border:none;
               margin:0px;
               padding:0px;"
</iframe>
就会出现上述的XXS跨脚本攻击 ;

不论你使用js先获取到值,还是使用json在解析以后,在用document.wirte写到页面上,依旧会出现XXS的错误。

如何跳过XXS呢?

其实上边的红色字已经告诉你了,就是   X-XSS-Protection = 0

下面列出的为有用和安全相关的 http 响应头

 X-XSS-Protection xxs 用于构建到最新的浏览器中ie8以上chrome(不确定版本) 默认开启

Strict-Transport-Security 安全的执行http通过ssl/ tls 链接到服务器

X-Frame-Options  , Frame-Options    提供Clickjacking 保护

X-Content-Type-Options

Content-Security-Policy、X-Content-Security-Policy X-WebKit-CSP

Content-Security-Policy-Report-Only   
齐玉林
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iframe安全问题
yanner_的博客
08-05 8167
1.iframe 有些时候我们的前端页面需要用到第三方提供的页面组件,通常会以iframe的方式引入。典型的例子是使用iframe页面上添加第三方提供的广告、天气预报、社交分享插件等等。 iframe在给我们的页面带来更多丰富的内容和能力的同时,也带来了不少的安全隐患。因为iframe中的内容是由第三方来提供的,默认情况下他们不受我们的控制,他们可以在iframe中运行JavaScirpt脚...
不用过滤,应对XSS攻击(1) -- iframe单向访问模型
pimshell的专栏
10-16 1670
应对XSS攻击的基本原则是:“数据内容不能作为代码执行,或者在受控环境中执行。”在这里我们先讨论如何把数据内容放入受控环境中。 为了避免XSS攻击,在大多数html编辑器的设计中,都是要将用户输入的HTML内容进行过滤。过滤代码繁琐暂且不说,关键是不能保证考虑到所有已知和未知的攻击类型。如果我们能设计一个iframe单向访问模型,就可以让用户输入的HTML内容在受控的环境中执行,也
关于pdf文件xss攻击问题,配置xssFilter方法
最新发布
12-21
所有需要的文件均在里面,超有所值
Yii2的XSS攻击防范策略分析
01-20
本文实例讲述了Yii2的XSS攻击防范策略。分享给大家供大家参考,具体如下: XSS 漏洞修复 原则: 不相信客户输入的数据 注意: 攻击代码不一定在[removed][removed]中 ① 将重要的cookie标记为http only, 这样的话Javascript 中的[removed]语句就不能获取到cookie了. ② 只允许用户输入我们期望的数据。 例如: 年龄的textbox中,只允许用户输入数字。 而数字之外的字符都过滤掉。 ③ 对数据进行Html Encode 处理 ④ 过滤或移除特殊的Html标签, 例如: script, iframe , < for>
在vue中实现嵌套页面(iframe)
10-15
主要介绍了在vue中实现嵌套页面(iframe),具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
XSS攻击绕过方法大全,XSS攻击技巧,收集100种绕过方法分享(2024最新)
白帽黑客八哥的博客
12-12 2445
尽管许多网站实施了输入过滤措施来防止脚本(XSS)攻击,但在特定条件下,经过精心编码的脚本仍有可能实施XSS注入。本文旨在为专业的安全测试人员提供一个脚本漏洞的检测指南。
(laravel,apache,nginx )响应头设置 (有关iframe嵌套,xss 攻击,防止基于 MIME 类型混淆的攻击)的配置
qq_35190486的博客
11-16 992
nginx 配置 server { listen 80; server_name nestle.com ; root "D:\install\PHPTutorial\WWW\skscrm\dist"; add_header X-Frame-Options SAMEORIGIN; add_header X-XSS-Protection '1; mode=block'; add_header ...
XSS专栏之常见xss--总结备忘
键盘的起始页
02-25 975
开始总结一些xss的想法。
如何在iframe显示文本_学点新姿势:如何发现一个0-day XSS?
weixin_39974400的博客
11-27 375
XSS漏洞可以说是初学者最容易发现的安全漏洞之一了,但是在目前各种WAF、CSP越来越严苛的情况下,XSS也早没有前几年那么容易发掘了。很多朋友私信向我反馈,为什么自己在靶场里可以如鱼得水地完成题目,一到真实站点的挖掘中就束手无措了,就是因为学的思路和测试技巧都已经被WAF过滤完了,说简单点就是仅靠一些入门级别的测试手法基本上很难挖到漏洞了。所以不要再反复问,学了一些网络安全入门应该怎么去挖漏洞?...
防止 XSS 攻击 解决方案
浪子专栏
08-15 9976
XSS又叫CSS英文缩写为Cross Site Script中文意思为脚本攻击具体内容指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的. 解决方案 第一。过滤 过滤 标签 等字符 ,但是这样 对用户是不公平的。第二。用asii 码替换 如   ! 等   第三
通过 iframe 实现 xss(Enabling cross-site scripting XSS via an iframe)
crystalNB的专栏
07-25 6291
有这样的一个想当普遍的场景就是:你有一个包含iframe页面,而这个iframe的src是指向和当前页面不同的域名。这样做是没错的,记住iframe就是这样设计的! 接下来的示例图展示我们要讨论的一种方案: 现在你想单击iframe里的一个链接,在父页面里来触发一个动作(可能是在父页面里提交一个表单,可能是在父页面里调整iframe的高度)。这时你遇到了困难,因为浏览器不让你访问不用域名
关于网信办的扫描漏洞“X-Frame-Options”,“X-XSS-Protection“等三联漏洞
qq_20324305的博客
05-31 1792
最近网络安全更加重要,各大对外服务的网站都被网信办提醒及时打补丁补漏洞。 如下 3个漏洞常常是呈现三联漏洞一起出现: 缺失"Content-Security-Policy"头漏洞, 点击劫持:X-Frame-Options头缺失漏洞, 缺失"X-XSS-Protection"头漏洞, 缺失"X-Content-Type-Options"头漏洞 ...
Iframe实现浏览器自适应高度解决方法
09-04
主要介绍了Iframe实现浏览器自适应高度解决方法,通过父层容器的应用来实现这一功能,非常实用的一个技巧,需要的朋友可以参考下
嵌套iFrame使用postMessage相互传递消息(嵌套iFrame父子窗口、页面).zip
01-06
练习说明:使用postMessage可以在iFrame、父子窗口、页面等,之间相互传递消息。 你好,我是TKCB-GO,一个有着游戏策划梦想,却沦为程序员的游戏家,这是我的技术博客:www.tkcb.cc 技术博客网站里面,除了我的...
Systemwide Tuning using STATSPACK Reports [ID 228913.1]
PrudentWoo 的个人空间
05-16 2301
Systemwide Tuning using STATSPACK Reports [ID 228913.1]   修改时间 09-MAR-2012     类型 BULLETIN     状态 ARCHIVED   Systemwide Tuning using StatsPack Reports PURPOSE This art
HTTP status codes
jyd119的专栏
05-05 674
http://en.wikipedia.org/wiki/List_of_HTTP_status_codes   1xx Informational Request received, continuing process.[2] This class of status code indicates a provisional response, consisting only of the Status-Line and optional headers, and is terminated b
前端安全之XSS攻击详解
Ellis_li 的博客
10-22 1145
1.基本概念 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内...
iframe问题
m0_61696809的博客
02-20 1443
这种机制通常是在服务器端实现的,可以让动态语言的程序员方便地重用代码和模块,但它并不具有隔离性,包含的代码和资源与它们所属的 HTML 文件共享同一个渲染上下文。如果 iframe 中的内容没有完全加载完成,或者 iframe 中的资源(例如 JavaScript、CSS、图片等)正在下载或执行,那么 iframe 可能会阻塞页面的加载。相对于一般的 DOM 元素,使用 iframe 创建的元素的渲染速度可能会更慢,因为它需要创建和加载一个新的文档,并在浏览器中进行独立的渲染和布局。
让HTML网页变成一个exe执行程序(node-webkit)
热门推荐
Little Luck
01-19 3万+
1.使用HTMLRunExe 工具 但是当html网页包含html5内容,则会 是不是有所变形呢? 那是因为其框架只支持 ie8的页面预览属性 不支持 css3和html5 ? 解决办法1. <script src="js/html5shiv.js"></script> <script src="js/respond.min.js">&lt...
检查要打开的url是否有xss攻击
05-31
检查要打开的URL是否有XSS攻击可以通过以下步骤实现: 1. 对URL进行编码:使用encodeURIComponent()函数对URL进行编码,将特殊字符转换为它们的十六进制表示。例如,`<`被转换为`%3C`。 2. 将编码后的URL作为参数传递给一个带有iframe的HTML页面,将URL设置为iframe的src属性。例如: ```html <iframe src="encoded_url"></iframe> ``` 3. 打开包含iframe的HTML页面,观察iframe中是否能够执行JavaScript。如果能够执行,则说明URL存在XSS漏洞。 4. 如果发现URL存在XSS漏洞,需要对URL进行过滤和编码,过滤掉一些不合法的字符,例如`<`和`>`等特殊字符,并使用输出编码将URL中的特殊字符转换为HTML实体或URL编码,从而防止恶意脚本的注入。 需要注意的是,这种方法只是一种简单的检查XSS漏洞的方法,不能保证100%的安全性。因此,在实际开发中,建议采用一些安全框架或库来防止XSS攻击

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值