Cross Frame Scripting

最新推荐文章于 2022-01-27 18:10:38 发布
最新推荐文章于 2022-01-27 18:10:38 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: 前端
原文链接:https://dotblogs.com.tw/rainmaker/2017/04/12/102243
版权

有時白箱工具會掃出 Client Cross Frame Scripting Attack ,

可以在 Header 中加入設定 X-FRAME-OPTIONS 

但是這樣有些 白箱工具並不知道,

客戶還是會要你改到 Report 看不到,

那怎麼辦呢?

 

這時候一般會在js中加入

if (top != self) {top.location = self.location;} 

但這樣子,又會引發另一個 issue,

Client DOM XSRF 問題,

所以解法可以改成

<script>if (top.frames.length != 0) alert(‘error’) </script>

或是加上 encode 去避掉 XSRF 的問題,如下,

top.location = encodeURI(self.location); 

 

 

huzk4409
关注
专栏目录
Cross-Frame Scripting漏洞解决---当你这个漏洞解决不了时,不妨看一下
better1166的博客
09-15 1756
使用HP webInspect进行漏洞扫描时,总是出现Cross-Frame Scripting这个漏洞,经过一次次的扫描测试,终于发现解决办法: (1)漏洞扫描报告关于设置X-FRAME-OPTIONS的方法,由于自己用的不是正式的webInspect版本,即使不设置这个,后台扫描时也不会出现这个漏洞,个人觉得这个方法并不是针对所有的扫描设备都管用,但是遇到的时候测试一下,说不定就好了呢; (2)在页面初始化时加上 if(top != self) { ...
XFS框架脚本漏洞介绍
发哥微课堂
09-18 1097
※ 介绍※ XFS即Cross-FrameScripting跨框架脚本,也叫iFrame注入,了解XFS问题前先来看下面这个小例子,有如下一段html代码。 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title></title> <script&g...
【常见Web应用安全问题】---6、Script source code disclosure
weixin_34128839的博客
12-22 418
Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。  常见Web应用安全问题安全性问题的列表:   1、跨站脚本攻击(CSS or XSS, Cross Site Scripting)   2、SQL注入攻击(SQL injection)   3、远程命令执行(Code execution,个人觉得译成代码执行并不确...
XFS: Cross Frame Script (跨框架脚本) 攻击。
weixin_33736048的博客
01-09 1038
一、Cross Frame Script (跨框架脚本) 攻击什么是Cross Frame Script?很简单,做个实验就知道了。把下面的这段HTML代码另存为一个html文件,然后用ie浏览器打开。&lt;html&gt;&lt;head&gt;&lt;title&gt;IE Cross Frame Scripting Restriction Bypass Example&lt;/title&...
Cross Frame Script (跨框架脚本) 攻击
04-11 6851
什么是Cross Frame Script?很简单,做个实验就知道了。把下面的这段HTML代码另存为一个html文件,然后用ie浏览器打开。IE Cross Frame Scripting Restriction Bypass Examplevar keylog=;document.onkeypress = function () {    k = window.event.keyCo
基于iframe的CFS(Cross Frame Script)和Clickjacking(点击劫持)攻击
虚怀若谷
12-31 6451
攻击原理:    CFS攻击(Cross Frame Script(跨框架脚本)攻击)是利用浏览器允许框架(frame)跨站包含其它页面的漏洞,在主框架的代码中加入scirpt,监视、盗取用户输入。    Clickjacking(点击劫持) 则是是一种视觉欺骗手段,在web端就是iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。    CFS 和 C
Cross-Frame Scripting 漏洞解决
CutelittleBo的博客
01-24 1082
设置 nginx 添加以下指令到 http, server 或 location 中 add_header X-Frame-Options SAMEORIGIN; 参考:https://developer.mozilla.org/zh-TW/docs/Web/HTTP/Headers/X-Frame-Options
jQuery - 参考资料 - About Cross-Frame Scripting and Security:关于跨框架脚本和安全
胡争辉
11-06 2113
jQuery - 参考资料 - About Cross-Frame Scripting and Security:关于跨框架脚本和安全 [About Cross-Frame Scripting and Security: - 文档] http://msdn2.microsoft.com/en-us/library/ms533028.aspx [jQuery -
Cross Frame 与不同域进行交互
03-28
标题中的“Cross Frame 与不同域进行交互”指的是在Web开发中处理跨域问题的一种技术。在HTML中,由于浏览器的同源策略(Same-origin policy),JavaScript通常不能直接访问或操作不同源(协议、域名、端口)的页面...
跨域 iframe 实例 (Cross-Domain Javascript execution library)
03-31
NULL 博文链接:https://justcoding.iteye.com/blog/1374728
跨站式脚本(Cross-SiteScripting)XSS攻击原理分析第1/4页
10-30
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
Cross Frame Script 跨框架脚本 攻击
qq_43746825的博客
02-22 513
Cross Frame Script 跨框架脚本 攻击
漏洞修复:Cross-Frame Scripting Medium
CutelittleBo的博客
01-27 976
描述: A Cross-Frame Scripting (XFS) vulnerability can allow an attacker to load the vulnerable application inside an HTML iframe tag on a malicious page. The attacker could use this weakness to devise a Clickjacking attack to conduct phishing, frame sniffing
frame的脚本和安全问题
SilentAcorn的专栏
11-13 992
仅作一下翻译,原文: About Cross-Frame Scripting and Security 在DHTML中,不同的窗口和框架(frames)中的内容可以通过对象模式用脚本相互交互。但是,由于可以在一个浏览器中通过多个窗口和框架同时显示多个毫不相干的内容,因此制定一定的限制性规则用于确保数据的真实性和保护个人隐私信息就显得很有必要的。 这片文章描述了为什么要添加这些限制性规则,以及这些规
跨网站脚本(Cross-site scripting)介绍
后端开发
05-27 1617
跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意
网络安全:DOM型XSS
垃圾管理员的垃圾站
09-06 1691
前言:继《XSS漏洞》 前一篇中解释了什么是反射型XSS,然后有了一个问题,反射型XSS有什么用呢?只是用来自娱自乐,别人又看不到。 emmm,其实不尽然也。 举个例子: <form action="xxx.php" method="get"> <p>username: <input type="text" name="fname...
top.location == self.location
qq_14861367的专栏
12-03 1408
 if (top.location == self.location) 判断当前location 是否为顶层 来禁止frame引用   top表示主窗口,location表示当前窗口,如果你的文件只有一个框架,没有iframe和frmaeset,那么是完全一致的,没有区别。 top.location是在顶层frame中打开新页   window.location是在当前frame中打开新页 ...
cross site scripting
最新发布
03-16
跨站脚本攻击(Cross Site Scripting,简称 XSS)是一种常见的Web安全漏洞,攻击者通过在Web页面中注入恶意脚本,使得用户在浏览页面时受到攻击。攻击者可以利用这种漏洞窃取用户的敏感信息,如账号密码、银行卡号等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值