iFrame注入是一种非常常见的跨站点脚本(或XSS)攻击。它由一个或多个iFrame标签组成,这些标签已插入页面或帖子的内容中,并且通常会下载可执行程序或执行其他危害网站访问者计算机的操作。在最佳情况下,Google可能将网站标记为“恶意”。最坏的情况是网站所有者和访问者最终都感染了恶意软件。
(1)iFram注入,当易受攻击的网页上的框架通过用户可控制的输入显示另一个网页时发生。
GET/search.jsp?query=%3Ciframe%20src=%22https://google.com/?%22%3E%3C/iframe%3E HTTP / 1.1
Host:****.net
(IE) (Firefox, Chrome, Safari) ![在这里插入图片描述](https://img-blog.csdnimg.cn/20200716111619406.jpg) (IE) (IE) (Firefox, Chrome, Safari) (Firefox, Chrome, Safari)
http://target.com/something.jsp?query=<script>eval(location.hash.slice(1))</script>#alert(1)
接受用户提供的数据作为iframe源URL可能会导致在Visualforce页面中加载恶意内容。
出现以下情况时,会发生欺骗漏洞:
1.数据通过不受信任的来源进入Web应用程序。
2.数据iframe未经验证即用作URL。
这样,如果攻击者向受害者提供iframesrc