Cross-Frame Scripting漏洞解决---当你这个漏洞解决不了时,不妨看一下

最新推荐文章于 2022-02-13 17:22:38 发布
最新推荐文章于 2022-02-13 17:22:38 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: web安全 文章标签: javascript ajax 前端框架 前端 csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/better1166/article/details/120304215
版权
在使用HP webInspect进行安全扫描时,遇到Cross-Frame Scripting漏洞。解决方案包括:忽略X-FRAME-OPTIONS设置(非所有扫描器有效),在页面初始化时检查是否为顶层窗口,以及避免在ajax提交中使用form表单元素,通过临时添加和移除<form>标签来防止漏洞触发。
摘要由CSDN通过智能技术生成

使用HP webInspect进行漏洞扫描时,总是出现Cross-Frame Scripting这个漏洞,经过一次次的扫描测试,终于发现解决办法:

(1)漏洞扫描报告关于设置X-FRAME-OPTIONS的方法,由于自己用的不是正式的webInspect版本,即使不设置这个,后台扫描时也不会出现这个漏洞,个人觉得这个方法并不是针对所有的扫描设备都管用,但是遇到的时候测试一下,说不定就好了呢;

最低0.47元/天 解锁文章
Better1166
关注
专栏目录
XFS跨框架脚本攻击漏洞
HeLLo_a119的博客
12-30 102
XFS跨框架脚本攻击
Cross Frame Script 跨框架脚本 攻击
qq_43746825的博客
02-22 505
Cross Frame Script 跨框架脚本 攻击
XFS: Cross Frame Script (跨框架脚本) 攻击。
weixin_33736048的博客
01-09 1029
一、Cross Frame Script (跨框架脚本) 攻击什么是Cross Frame Script?很简单,做个实验就知道了。把下面的这段HTML代码另存为一个html文件,然后用ie浏览器打开。&lt;html&gt;&lt;head&gt;&lt;title&gt;IE Cross Frame Scripting Restriction Bypass Example&lt;/title&...
Cross Frame Scripting
huzk4409的专栏
08-07 1928
有時白箱工具會掃出Client Cross Frame Scripting Attack , 可以在 Header 中加入設定X-FRAME-OPTIONS 但是這樣有些 白箱工具並不知道, 客戶還是會要你改到 Report 看不到, 那怎麼辦呢? 這時候一般會在js中加入 if (top != self) {top.location = self.location;} ...
漏洞修复:Cross-Frame Scripting Medium
CutelittleBo的博客
01-27 968
描述: A Cross-Frame Scripting (XFS) vulnerability can allow an attacker to load the vulnerable application inside an HTML iframe tag on a malicious page. The attacker could use this weakness to devise a Clickjacking attack to conduct phishing, frame sniffing
Cross-Frame Scripting 漏洞解决
CutelittleBo的博客
01-24 1071
设置 nginx 添加以下指令到 http, server 或 location 中 add_header X-Frame-Options SAMEORIGIN; 参考:https://developer.mozilla.org/zh-TW/docs/Web/HTTP/Headers/X-Frame-Options
【常见Web应用安全问题】---6、Script source code disclosure
weixin_34128839的博客
12-22 409
Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。  常见Web应用安全问题安全性问题的列表:   1、跨站脚本攻击(CSS or XSS, Cross Site Scripting)   2、SQL注入攻击(SQL injection)   3、远程命令执行(Code execution,个人觉得译成代码执行并不确...
Cross Frame Script (跨框架脚本) 攻击
04-11 6844
什么是Cross Frame Script?很简单,做个实验就知道了。把下面的这段HTML代码另存为一个html文件,然后用ie浏览器打开。IE Cross Frame Scripting Restriction Bypass Examplevar keylog=;document.onkeypress = function () {    k = window.event.keyCo
jQuery - 参考资料 - About Cross-Frame Scripting and Security:关于跨框架脚本和安全
胡争辉
11-06 2110
jQuery - 参考资料 - About Cross-Frame Scripting and Security:关于跨框架脚本和安全 [About Cross-Frame Scripting and Security: - 文档] http://msdn2.microsoft.com/en-us/library/ms533028.aspx [jQuery -
跨域 iframe 实例 (Cross-Domain Javascript execution library)
03-31
NULL 博文链接:https://justcoding.iteye.com/blog/1374728
Cross Frame 与不同域进行交互
03-28
NULL 博文链接:https://mllongze.iteye.com/blog/1234987
JAVA项目实践,URL存在跨站漏洞,注入漏洞解决方案.docx
10-26
### JAVA项目实践:URL存在的跨站漏洞与注入漏洞解决方案 #### 一、跨网站脚本(XSS)概述 跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本攻击)是一种常见的安全漏洞攻击方式,尤其针对网站应用程序。...
XSS基础原理(Cross-site scripting)
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
02-13 1578
XSS基础原理(Cross-site scripting) 文章目录XSS基础原理(Cross-site scripting)什么是跨站脚本 (XSS)?XSS 攻击主要分为三种类反射型 XSS,其中恶意脚本来自当前的 HTTP 请求案例 1 大小写,双写绕过 dvwa_Medium案例 2 各种标签绕过 dvwa_high案例 3 htmlspecialchars pikachu_htmlspecialchars存储的 XSS,其中恶意脚本来自网站的数据库案例 1 replace()函数对尖括
.NET跨框架脚本(XFS)漏洞解决方案
Teemo_2016的博客
07-23 1204
跨框架脚本(XFS)漏洞使攻击者能够在恶意页面的 HTML iframe 标记内加载易受攻击的应用程序。攻击者可以使用此漏洞设计点击劫持攻击,以实施钓鱼式攻击、框架探查攻击、社会工程攻击或跨站点请求伪造攻击。 点击劫持攻击的目的是欺骗受害用户在不了解的目标网站上与攻击者选择的 UI 元素交互,然后反过来代表受害者执行特权功能。为达到这一目的,攻击者必须攻击 XFS 漏洞以在 iframe 标记内...
XFS框架脚本漏洞介绍
发哥微课堂
09-18 1086
※ 介绍※ XFS即Cross-FrameScripting跨框架脚本,也叫iFrame注入,了解XFS问题前先来看下面这个小例子,有如下一段html代码。 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title></title> <script&g...
frame的脚本和安全问题
SilentAcorn的专栏
11-13 984
仅作一下翻译,原文: About Cross-Frame Scripting and Security 在DHTML中,不同的窗口和框架(frames)中的内容可以通过对象模式用脚本相互交互。但是,由于可以在一个浏览器中通过多个窗口和框架同显示多个毫不相干的内容,因此制定一定的限制性规则用于确保数据的真实性和保护个人隐私信息就显得很有必要的。 这片文章描述了为什么要添加这些限制性规则,以及这些规
基于IBM Appscan 扫描的网站安全问题修改(.Net MVC)
BrandonJ 的博客
10-13 4506
最近一直在修改网站的安全问题,期间遇到了很多问题,所有在这里给大家分享一下,具体问题还需要按情况修改。
api通过WrappedResult子类的统一响应结果为什么会造成Cross-Site Scripting: Content Sniffing漏洞
最新发布
03-30
这是因为WrappedResult子类的统一响应结果中可能包含用户提供的输入,而这些输入可能包含恶意脚本代码。当浏览器接收到响应结果,它会根据响应头中的Content-Type字段来确定响应的类型,但是如果响应头中的Content-Type字段不正确或者缺失,浏览器就会进行内容嗅探(Content Sniffing)来判断响应类型。恶意攻击者可以利用这个漏洞,将响应结果的Content-Type字段设置为text/html,让浏览器将响应结果当做HTML文档来解析,从而执行其中的恶意脚本代码。为了避免这个漏洞,应该在响应头中正确设置Content-Type字段,并对用户输入进行正确的过滤和转义。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值