script、iframe注入型防运营商劫持

最新推荐文章于 2023-03-14 13:00:00 发布
最新推荐文章于 2023-03-14 13:00:00 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: 前端安全 ECMAScript
原文链接:https://juejin.im/post/5bea7eb4f265da612859a9e4
版权

(一)前言
准确是防运营商劫持就是防script、iframe注入型劫持,属于HTTP劫持中的一种。主要是劫持js文件,然后在网页中通过js脚本往网页中注入图片和链接或者框架广告,也叫流量劫持。

至于劫持类型,这里我建议,看这篇文章

(二)实现
对于js注入,我们可以使用一个新API

MutationObserver Api传送门

这里是目前的浏览器兼容性
在这里插入图片描述
所以,我们可以看到目前所有浏览器的兼容性是92.79%,手机端的兼容性更高。那么我们是如何实现的

这里我们要看MutationObserver,它会监听指定的DOM发生变化时被调用。那么如果将script插入时候判断下,那么就能过滤掉注入的js文件,iframe,防止js修改我们页面。当然我们还需要增加白名单和安全标签(shendun-eddy),防止CDN被删除。

(二)具体代码

<script shendun-eddy>
      /**
       * @note 防劫持代码
       * @key MutationObserver 提供了监视对DOM树所做更改的能力
       */
      (function() {
        try {
          var srcFilterTags = ['script', 'iframe'];
          // 域名白名单 可以加多个
          var whiteList = [
            window.location.hostname,
            'unpkg.com',
            'polyfill.io',
            'cnzz.com',
          ];
          // 资源链接匹配规则,元素类型为正则表达式
          var whiteListReg = [];

          // 正则匹配
          whiteList.forEach(function(wl) {
            // 匹配http开头的域名部分,元素实例会自行修正src中的反斜杠
            var wlReg = new RegExp('^https?:(//)?[^/]*?' + wl, 'i');
            whiteListReg.push(wlReg);
          });
          // 白名单助手
          var inWhileList = function(addedNode) {
            // 例外规则
            if (
              addedNode.src === '' &&
              // shendun-eddy 是script的白名单标签
              (addedNode.getAttribute('shendun-eddy') !== null ||
                // iframe空src,html2canvas需要iframe做兼容性检测
                addedNode.tagName.toLowerCase() === 'iframe')
            ) {
              return true;
            }
            var isInWhiteList = false;

            whiteListReg.forEach(function(wlReg) {
              if (wlReg.test(addedNode.src)) {
                isInWhiteList = true;
                return false;
              }
            });

            return isInWhiteList;
          };

          // dom观察器
          var mutationHandler = function(records) {
            records.forEach(function(record) {
              var addedNodes = [];
              // 如果src被动态修改,也要进行监管
              if (
                record.type.toLowerCase() === 'attributes' &&
                record.attributeName.toLowerCase() === 'src'
              ) {
                addedNodes.push(record.target);
              } else {
                addedNodes = Array.prototype.slice.call(record.addedNodes);
              }
              addedNodes.forEach(function(addedNode) {
                srcFilterTags.forEach(function(tagName) {
                  // 标签匹配 白名单匹配
                  if (addedNode.tagName === tagName.toUpperCase() && !inWhileList(addedNode)) {
                    addedNode.remove();
                  }
                });
              });
            });
          };

          var MutationObserver =
              window.MutationObserver ||
              window.WebKitMutationObserver ||
              window.MozMutationObserver,
            observeMutationSupport = !!MutationObserver;

          if (observeMutationSupport) {
            new MutationObserver(mutationHandler).observe(document.documentElement, {
              childList: true,
              subtree: true,
              // 监视src属性修改
              /**
               * android 4.4.2 需要声明 attributes
               * 不声明则attributeFilter则报异常 Uncaught SyntaxError: An invalid or illegal string was specified.
               */
              attributes: true,
              attributeFilter: ['src']
            });
          }
          var eleList = document.querySelectorAll('script');
          var len = eleList.length;
          for (var i = 0; i < len; i++) {
            if (!inWhileList(eleList[i])) {
              eleList[i].remove();
            }
          }
        } catch (error) {
          console.error(error);
        }
        if (window.self !== window.top) {
          alert(
            '脚本检测到存在劫持的风险,如页面不属于请不予理会!',
          );
        }
      })();
    </script>

(四)总结

当我们网站加入防运营商劫持代码,能防大部分注入型劫持,当然这是第一步,接下来我们要讲解下CSP( 内容安全策略)防运营商劫持

Justin0223
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
遇到DNS运营商劫持怎么办、运营商劫持的解决方法有那些
seven9711的博客
01-05 9045
运营商劫持在如今很普遍,相信很多人还不清楚,什么是运营商劫持?遇到DNS运营商劫持怎么办?本次在这里就为大家科普下。 什么是运营商劫持? 运营商是指那些提供宽带服务的ISP,包括三大运营商中国电信、中国移动、中国联通,还有一些小运营商,比如长城宽带、歌华有线宽带。运营商提供最最基础的网络服务,掌握着通往用户物理大门的钥匙,目前运营商劫持也很普遍,百度一下,可以发现有大量反馈反馈这个问题,各种广告弹窗,甚至还可能会窃取用户因素,令人憎恨。 网络运营商为了卖广告或者其他经济利益,有时候会直接劫持用户的访问,目前
用CSS防iframe挂马
01-12
### 使用CSS防御iframe挂马方法详解 #### 一、背景与问题介绍 在网络安全领域,iframe木马攻击是一种常见的安全威胁方式。攻击者通过在合法网页中注入恶意的iframe代码,将用户重定向到含有恶意软件或钓鱼网站的...
前端页面劫持和反劫持
xuyuwas的博客
10-11 3796
前端页面劫持和反劫持 页面劫持 使用HTTP请求请求一个网站页面的时候,网络运营商会在正常的数据流中插入精心设计的网络数据报文,让客户端(通常是浏览器)展示“错误”的数据,通常是一些弹窗,宣传性广告或者直接显示某网站的内容。 常见劫持手段 跳转劫持: 用户输入地址A,但是跳转到地址B 为了获取流量,一些电商或者类似百度这样需要流量合作的网站都会有自己的联盟系统,通过给予一些奖励来获取导流,比...
php避免网页出现运营商劫持,防止运营商劫持,前端解决办法
weixin_30733115的博客
03-10 146
防止运营商劫持,前端解决办法[toc]常见的劫持方式:按照劫持的方法不同,我将劫持分为下面两类:跳转劫持:用户输入地址A,但是跳转到地址B注入劫持:有别于跳转劫持,指通过在正常的网页中注入广告代码(js、iframe等),实现页面弹窗提醒或者底部广告等,又分为下面三个小类:注入js类劫持:在正常页面注入劫持的js代码实现的劫持iframe劫持:将正常页面嵌入iframe或者页面增加ifr...
干货!防运营商劫持
程序员阿飘 的博客
03-14 700
运营商是指那些提供宽带服务的ISP,包括三大运营商中国电信、中国移动、中国联通,还有一些小运营商,比如长城宽带、歌华有线宽带。运营商提供最最基础的网络服务,掌握着通往用户物理大门的钥匙,目前运营商劫持很普遍。目前运营商劫持率大约是3% ~ 25%,它们无处不在。为了还用户一个干净安全的浏览环境,我们需要做好预防措施1.全站https,能防一部分2.加入防运营商劫持代码,能防大部分注入劫持3.记录Log,记录证据,向工信部投诉。
运营商劫持代码
weixin_33923762的博客
11-19 401
  一、什么是运营商劫 什么是运营商运营商是指那些提供宽带服务的ISP,包括三大运营商中国电信、中国移动、中国联通,还有一些小运营商,比如长城宽带、歌华有线宽带。运营商提供最最基础的网络服务,掌握着通往用户物理大门的钥匙,目前运营商劫持很普遍。 举个劫持的栗子: 劫持方式: 运营商比较常见的作恶方式有三种,...
CSP(内容安全策略)防运营商劫持
JUSTIN的博客
11-26 3621
(一)前言 CSP英文全称Content Security Policy,中文意思是 **内容安全策略**。 CSP以白名单的机制对网站加载或执行的资源起作用,在网页中,这样的策略通过 HTTP 头信息或者 meta 元素定义。用于检测并削弱某些特定类的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件。
js防止运营商劫持
weixin_34393428的博客
04-29 306
<script type="text/javascript"> // FUCK 运营商劫持 var clearFrameAds = function () { var iframes = document.getElementsByTagName('iframe') for (var i = 0; i < ifram...
JavaScript防http劫持与XSS
zhaofuqiangmycomm的博客
03-29 239
http://www.cnblogs.com/coco1s/p/5777260.html作为前端,一直以来都知道HTTP劫持与XSS跨站脚本(Cross-site scripting)、CSRF跨站请求伪造(Cross-site request forgery)。但是一直都没有深入研究过,前些日子同事的分享会偶然提及,我也对这一块很感兴趣,便深入研究了一番。最近用 JavaScript 写了一个组...
CSP -- 运营商内容劫持(广告)的终结者
weixin_33854644的博客
06-12 250
为什么80%的码农都做不了架构师?>>> ...
不使用XMLHttpRequest实现异步加载 Iframescript
12-09
调用页面如下: 代码如下: <!DOCTYPE html PUBLIC “-//W3C//DTD XHTML 1.0 Transitional//EN” ... <head> <title></title> [removed][removed] <script id=”javascriptq”
CheckInjection:检测网页内容注入运营商注入广告,内容注入上报
05-31
程序特色对业务兼容性好 可以兼容现有代码,而不必担心我们的业务代码被判定为第三方注入检测手段完备 iframe监测、script标签插入监测、body内容插入监测等等,保证注入检测的有效性无额外依赖 原生JS实现,无需...
jbii:基于 Jade 的 Iframe 注入
06-22
**JBII:基于 Jade 的 Iframe 注入** JBII(Jade Based Iframe Injection)是一种利用Jade模板引擎实现的Iframe注入技术。在Web开发中,Iframe(Inline Frame)常用于在网页中嵌入其他网页内容,如广告、视频、地图...
js iframe网站后台左右收缩页面脚本
10-30
标题中的“js iframe网站后台左右收缩页面脚本”指的是一个JavaScript实现的页面布局功能,主要应用于网站后台,使得页面的侧边栏可以左右收缩。这个功能通常用于提高后台管理界面的空间利用率,允许用户根据需要...
mpu6050陀螺仪使用方法开发教程文档.docx
07-30
mpu6050陀螺仪使用方法
【SCI顶级】龙格库塔算法RUN-CNN-LSTM-Multihead-Attention温度预测【含源码 5747期】.zip
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-LSTM-Mutilhead-Attention回归预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-LSTM-Mutilhead-Attention回归预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.5 萤火虫算法FA/差分算法DE-CNN-LSTM-Mutilhead-Attention回归预测
大模的数学之魂:统计学习理论精要
07-30
机器学习模,通常简称为“大模”,是指具有数十亿甚至数千亿参数的深度神经网络模。这些模因为其庞大的参数量和复杂的计算结构,能够处理非常复杂的任务和数据,展现出强大的表达能力和预测性能。大模在自然语言处理、计算机视觉、语音识别和推荐系统等多个领域都有广泛的应用。 大模的设计目的是通过训练海量数据来学习复杂的模式和特征,从而具备强大的泛化能力,能够对未见过的数据做出准确的预测。与参数较少、层数较浅的小模相比,大模虽然需要更多的计算资源和时间来训练和推理,但它们展现出了一种被称为“涌现能力”的特性,即从原始训练数据中自动学习并发现新的、更高层次的特征和模式。 大模的发展历程可以分为几个阶段,从早期的卷积神经网络模发展到以Transformer为代表的全新神经网络模,再到当前以GPT为代表的预训练大模阶段。Transformer架构因其自注意力机制而成为大模的核心技术,它使得模能够更好地理解和处理文本数据中的长距离依赖关系。 大模的分类主要包括语言大模(NLP)、视觉大模(CV)和多模态大模。语言大模专注于处理文本数据和理解自然语言,而视觉大模
唯美淡雅四页.zip
最新发布
07-30
【简历模板】工作总结、商业计划书、述职报告、读书分享、家长会、主题班会、端午节、期末、夏至、中国风、卡通、小清新、岗位竞聘、公司介绍、读书分享、安全教育、文明礼仪、儿童故事、绘本、防溺水、夏季安全、科技风、商务、炫酷、企业培训、自我介绍、产品介绍、师德师风、班主任培训、神话故事、巴黎奥运会、世界献血者日、防范非法集资、3D快闪、毛玻璃、人工智能等等各种样式的ppt素材风格。 设计模板、图片素材、PPT模板、视频素材、办公文档、小报模板、表格模板、音效配乐、字体库。 广告设计:海报,易拉宝,展板,宣传单,宣传栏,画册,邀请函,优惠券,贺卡,文化墙,标语,制度,名片,舞台背景,广告牌,证书,明信片,菜单,折页,封面,节目单,门头,美陈,拱门,展架等。 电商设计:主图,直通车,详情页,PC端首页,移动端首页,钻展,优惠券,促销标签,店招,店铺公告等。 图片素材:PNG素材,背景素材,矢量素材,插画,元素,艺术字,UI设计等。 视频素材:AE模板,会声会影,PR模板,视频背景,实拍短片,音效配乐。 办公文档:工作汇报,毕业答辩,企业介绍,总结计划,教学课件,求职简历等PPT/WORD模板。
iframe注入js
07-28
回答: 要在iframe注入JavaScript,可以使用以下步骤。首先,获取到iframe元素,可以通过getElementById方法或其他方式获取到iframe元素。然后,获取到iframe的window对象和document对象,可以通过contentWindow属性和contentDocument属性获取。接下来,创建一个script元素,并将要注入的JavaScript代码作为其内容。然后,将script元素添加到iframe的document元素中,可以通过appendChild方法实现。这样就完成了在iframe注入JavaScript的过程。\[1\] #### 引用[.reference_title] - *1* [如何在iframe中调用js方法](https://blog.csdn.net/jameskaron/article/details/117071736)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [用JS访问操作iframe里的dom](https://blog.csdn.net/sa8262222/article/details/3459348)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值