iframe跨框架脚本攻击,安全问题解决办法

已于 2023-06-21 15:42:28 修改
阅读量1k 收藏
点赞数
分类专栏: Others 文章标签: 安全
于 2023-06-02 22:16:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alidingding/article/details/131014383
版权

跨框架脚本(XFS)漏洞使攻击者能够在恶意页面的 HTMLiframe 标记内加载易受攻击的应用程序。攻击者可以使用此漏洞设计点击劫持攻击,以实施钓鱼式攻击、框架探查攻击、社会工程攻击或跨站点请求伪造攻击。个人理解就是其他网站会在他的iframe中调用我的网站内容,来截取他人的点击事件或者窃取他人敏感信息。

1.怎么测试出此安全性问题

本地编写一个iframe.html页面文档,内容如下。

<html>
<head>
<title>IE Cross Frame Scripting Restriction Bypass Example</title>
<script>
var keylog='';
document.onkeypress=function(){
k=window.event.keyCode;
window.status=keylog += String.fromCharCode(k)+'['+k+']';
}
</script>
</head>
<body>
<frameset onload="this.focus();" onblur="this.focus();" cols="100%">
<iframe src="https://this.is.myweb.com" scrolling="auto" height=100% width=100%/>
</frameset>
</body>
</html>

https://this.is.myweb.com是自己的页面url,如果能正常点击进入自己的页面,则有此安全问题。

2.修复办法

2.1 nginx增加配置

修改nginx服务器配置,添加X-frame-options响应头。赋值有如下三种:

(1)DENY:不能被嵌入到任何iframe或frame中。
(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中,也就是同源的支持。
(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中 。(此种规则已经弃用
   很多时候在nginx中配置此规则之后,无法生效,一些博客说是因为浏览器的版本太新了,其实这个是不准确的。这是一个被弃用的指令,不再适用于现代浏览器,请不要使用它。在支持旧版浏览器时,页面可以在指定来源的 frame 中展示。请注意,在旧版 Firefox 上,它会遇到与 SAMEORIGIN 相同的问题——它不会检查 frame 所有的祖先页面来确定他们是否是同一来源。Content-Security-Policy. HTTP 首部有一个 frame-ancestors 指令,你可以使用这一指令来代替。

nginx的configmap里面配置

add_header           X-Frame-Options "SAMEORIGIN";

配置后,重启nginx服务器后,清除浏览器缓存后,再次点击iframe.html文件,会有以下报错:

网页无法打开

位于 https://this.is.myweb.co 的网页无法加载,因为:

net::ERR_CACHE_MISS

2.1 前端增加代码

<script>
	if(top !=selt){
		top.location=self.location;
	}
	if(window != window.top ){
		window.top.location.href = correctURL;
	}

	***业务代码

参考:
https://codeleading.com/article/7179940468/
https://blog.csdn.net/yanner_/article/details/81428965
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/X-Frame-Options

一瓢西湖水
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iframe注入和非法重定向
m0_48520508的博客
07-16 1865
iFrame注入是一种非常常见的站点脚本(或XSS)攻击。它由一个或多个iFrame标签组成,这些标签已插入页面或帖子的内容中,并且通常会下载可执行程序或执行其他危害网站访问者计算机的操作。在最佳情况下,Google可能将网站标记为“恶意”。最坏的情况是网站所有者和访问者最终都感染了恶意软件。 (1)iFram注入,当易受攻击的网页上的框架通过用户可控制的输入显示另一个网页时发生。 GET/search.jsp?query=%3Ciframe%20src=%22https://google.com/?%2
AngularJS iframe域打开内容时报错误的解决办法
10-24
在Web开发中,AngularJS是一个非常流行的前端...总之,通过正确配置AngularJS的`$sce`服务,可以有效地解决`iframe`域加载内容时遇到的问题,同时也要时刻关注安全性,避免潜在的脚本攻击(XSS)和其他安全威胁。
IFrame安全问题解决办法框架脚本(XFS)漏洞
包磊磊的博客
04-15 1551
最近项目要交付了,对方安全测试的时候检测出高危险漏洞,由于刚参加工作不久,经验不足,未涉及过此方面的东西。经过一番查询和探索,最终解决了这个问题,记录一下。 发现的漏洞为缺少框架脚本保护。框架脚本(XFS)漏洞使攻击者能够在恶意页面的 HTMLiframe 标记内加载易受攻击的应用程序。攻击者可以使用 此漏洞设计点击劫持攻击,以实施钓鱼式攻击框架探查攻击、社会工程攻击...
XFS框架脚本攻击漏洞
HeLLo_a119的博客
12-30 54
XFS框架脚本攻击
Iframe框架钓鱼攻击
m0_62425768的博客
11-19 446
Iframe框架钓鱼网站是指那些假扮成合法网站的虚假网站,旨在诱骗用户提供个人信息、账号密码、财务信息等敏感信息。这些网站通常会模仿知名的银行、电子支付平台、电子邮件服务提供商等机构的网站,以迷惑用户并诱使他们输入敏感信息。原理是,使用正则表达式来判断前端传过来的值是否正常,如不正常则不允以应答,如正常则向前端返回前端Iframe标签中的值。当前端传过来的值为InN时,执行doYInframe方法,可防护Iframe框架钓鱼的后端代码。在访问银行、支付平台等网站时,确保网址正确,使用书签或手动输入网址。
iframe的优点与缺点
拯救世界的光太郎
03-25 365
首先说一下iframe有什么作用: iframe元素会创建包含另一个文档的内联框架。 提示:可以将提示文字放在<iframe></liframe>之间,来提示某些不支持iframe的浏览器 优点: iframe能够原封不动的把嵌入的网页展现出来。 如果有多个网页引用iframe,那么你只需要修改frame的内容,就可以实现调用的每一个页面内容的更改,方便快捷。网页如果为了统一风格,头部和版本都是一样的,就可以写成一个页面,用iframe来嵌套,可以增加代码的复用性。..
源代码-修补脚本攻击漏洞.zip
最新发布
04-23
在这个"源代码-修补脚本攻击漏洞.zip"文件中,我们很可能是看到了针对ASP应用的XSS漏洞修复方案。 XSS攻击主要有三种类型:存储型、反射型和DOM型。存储型XSS发生在数据被持久化到服务器并存储在数据库或其他...
动态加载js、css等文件iframe实现
10-26
动态加载JS和CSS文件是网页优化的一个重要技巧,它允许我们按需加载资源,从而减少...在实际应用中,还需要注意安全性和性能优化,如防止脚本攻击(XSS)、处理加载失败的情况、优化加载顺序以提高页面响应速度等。
CI框架安全过滤函数示例
10-18
在本文中,我们将深入探讨CI框架(CodeIgniter)的安全过滤函数,以及如何利用它们来保护应用程序免受潜在的安全威胁,如脚本攻击(XSS)和SQL注入。CodeIgniter是一个流行的PHP框架,它提供了一系列内置的工具...
Web安全之XSS攻击与防御小结
10-17
Web安全中的XSS攻击是一种常见的网络攻击方式,全称为脚本攻击攻击者通过在Web页面中插入恶意的JavaScript代码,当受害者访问这些被污染的页面时,恶意脚本将被执行,从而可能导致敏感信息泄露、账户劫持等...
懂得使用sandbox,限制iframe的权限,解决安全问题
m0_57742384的博客
10-20 5004
懂得使用sandbox,限制iframe的权限,解决安全问题
网络安全-脚本攻击(XSS)的原理、攻击及防御
热门推荐
关注网络安全、云原生安全
08-01 4万+
所用工具 Google出品:开源Web App漏洞测试环境:Firing Range 简介 脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意Script代码,当用户浏览网页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss是攻击客户端,最终受害者是用户,网站管理员也是用户之一。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过.
Cross Frame Script (框架脚本) 攻击
04-11 6818
什么是Cross Frame Script?很简单,做个实验就知道了。把下面的这段HTML代码另存为一个html文件,然后用ie浏览器打开。IE Cross Frame Scripting Restriction Bypass Examplevar keylog=;document.onkeypress = function () {    k = window.event.keyCo
页面嵌入dom与被嵌入iframe的攻防
weixin_33936401的博客
09-26 190
1.情景一:自己的页面被引入(嵌入)至别人的页面iframe中   if(window.self != window.top){ //url是自己页面的url window.top.location.href = url } 通过顶层框架的判断,得知自己所在的框架是否是顶层框架。来判断自己页面所在的情况。   知识点:不同域中的iframe不能相互访问。 比...
XSS脚本攻击原理
Q1n6
10-14 4292
XSS 攻击,全称是“站点脚本攻击”(Cross Site Scripting),之所以缩写为 XSS,主要是为了和“层叠样式表”(Cascading StyleSheets,CSS)区别开,以免混淆。XSS 是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。这些代码包括HTML代码和客户端脚本。对于脚本攻击,黑客界共识是:脚本攻击
框架注入漏洞
conkeyn的专栏
02-27 5527
  2 详细描述 攻击者有可能注入含有恶意内容的 frame 或 iframe 标记。如果用户不够谨慎,就有可能浏览该标记,却意识不到自己会离开原始站点而进入恶意的站点。之后,攻击者便可以诱导用户再次登录,然后获取其登录凭证。 解决办法 建议过滤出所有以下字符: [1] |(竖线符号) [2] &amp; (&amp; 符号) [3];(分号) [4] $(美元符号...
iframe安全问题
12-28
iframe(内嵌框架)是一种HTML标签,它可以在网页中嵌入其他网页的内容。然而,iframe也存在一些安全问题。 首先,使用iframe可能会导致站点脚本攻击(XSS)。这意味着攻击者可以在iframe中嵌入恶意代码,然后诱使用户访问该页面,从而窃取用户的信息或执行恶意操作。 其次,iframe也可能会被用于点击劫持(clickjacking)攻击攻击者可以通过在透明的iframe中覆盖一个伪装成用户感兴趣的内容的按钮或链接来诱使用户在不知情的情况下点击。 此外,iframe也可能会被用于网站伪装(phishing)攻击攻击者可以使用iframe来伪装成一个合法的网站,诱使用户输入个人敏感信息。 为了解决这些安全问题,网站开发者应当采取一些措施。首先,他们应该仔细检查和审查他们要嵌入的iframe内容,确保内容来自可信任的来源。其次,他们可以使用X-Frame-Options响应标头来告知浏览器禁止嵌入自己的网页内容到iframe中,从而防止点击劫持攻击。最后,他们可以定期检查和更新网站的安全政策,以确保及时发现和修复可能存在的安全漏洞。 总之,虽然iframe提供了很多便利,但开发者在使用它时必须要注意安全问题,采取相应的措施保护用户和网站的安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值