防止页面被iframe恶意嵌套

最新推荐文章于 2022-05-27 15:06:17 发布
最新推荐文章于 2022-05-27 15:06:17 发布
阅读量717 收藏
点赞数
文章标签: javascript 数据库 java ViewUI
原文链接:https://yq.aliyun.com/articles/6065
版权

新blog地址:http://hengyunabc.github.io/prevent-iframe-stealing/

缘起

在看资料时,看到这样的防止iframe嵌套的代码:

try {
    if (window.top != window.self) {
        var ref = document.referer;
        if (ref.substring(0, 2) === '//') {
            ref = 'http:' + ref;
        } else if (ref.split('://').length === 1) {
            ref = 'http://' + ref;
        }
        var url = ref.split('/');
        var _l = {auth: ''};
        var host = url[2].split('@');
        if (host.length === 1) {
            host = host[0].split(':');
        } else {
            _l.auth = host[0];
            host = host[1].split(':');
        }
        var parentHostName = host[0];
        if (parentHostName.indexOf("test.com") == -1 && parentHostName.indexOf("test2.com") == -1) {
            top.location.href = "http://www.test.com";
        }
    }
} catch (e) {
}

假定test.com,test2.com是自己的域名,当其它网站恶意嵌套本站的页面时,跳转回本站的首页。

上面的代码有两个问题:

  • referer拼写错误,实际上应该是referrer
  • 解析referrer的代码太复杂,还不一定正确

无论在任何语言里,都不建议手工写代码处理URL。因为url的复杂度超出一般人的想像。很多安全的问题就是因为解析URL不当引起的。比如防止CSRF时判断referrer。

URI的语法:

http://en.wikipedia.org/wiki/URI_scheme#Generic_syntax

在javascript里解析url最好的办法

在javascript里解析url的最好办法是利用浏览器的js引擎,通过创建一个a标签:

var getLocation = function(href) {
    var l = document.createElement("a");
    l.href = href;
    return l;
};
var l = getLocation("http://example.com/path");
console.debug(l.hostname)

简洁防iframe恶意嵌套的方法

下面给出一个简洁的防止iframe恶意嵌套的判断方法:

if(window.top != window && document.referrer){
  var a = document.createElement("a");
  a.href = document.referrer;
  var host = a.hostname;

  var endsWith = function (str, suffix) {
      return str.indexOf(suffix, str.length - suffix.length) !== -1;
  }

  if(!endsWith(host, '.test.com') || !endsWith(host, '.test2.com')){
    top.location.href = "http://www.test.com";
  }
}

java里处理URL的方法

http://docs.oracle.com/javase/tutorial/networking/urls/urlInfo.html

用contain, indexOf, endWitch这些函数时都要小心。

 public static void main(String[] args) throws Exception {

        URL aURL = new URL("http://example.com:80/docs/books/tutorial"
                           + "/index.html?name=networking#DOWNLOADING");

        System.out.println("protocol = " + aURL.getProtocol());
        System.out.println("authority = " + aURL.getAuthority());
        System.out.println("host = " + aURL.getHost());
        System.out.println("port = " + aURL.getPort());
        System.out.println("path = " + aURL.getPath());
        System.out.println("query = " + aURL.getQuery());
        System.out.println("filename = " + aURL.getFile());
        System.out.println("ref = " + aURL.getRef());
    }

参考

http://stackoverflow.com/questions/736513/how-do-i-parse-a-url-into-hostname-and-path-in-javascript

http://stackoverflow.com/questions/5522097/prevent-iframe-stealing

weixin_34242509
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iframe安全问题
yanner_的博客
08-05 8265
1.iframe 有些时候我们的前端页面需要用到第三方提供的页面组件,通常会以iframe的方式引入。典型的例子是使用iframe页面上添加第三方提供的广告、天气预报、社交分享插件等等。 iframe在给我们的页面带来更多丰富的内容和能力的同时,也带来了不少的安全隐患。因为iframe中的内容是由第三方来提供的,默认情况下他们不受我们的控制,他们可以在iframe中运行JavaScirpt脚...
禁止网站被iframe嵌套的解决方法
不怕麻烦的鹿丸的博客
12-19 8938
有时候我们开发的网站可能会被别人利用嵌入到其他网站中,也就是别人镜像我们的网站,造成点击劫持风险。
页面不允许被iframe嵌入,更加安全
chengjia8743的博客
07-07 1576
由于嵌入iframe嵌入 使得网站变的更不安全, 如何能防止网页禁止被iframe嵌入呢? 下面给出几个企业网站的应对方法: 淘宝前端: if(window.top!==window.self){window.top.location=window.locatio...
判断网站被iframe以及防止iframe嵌套解决方案
tmj258606的博客
05-27 971
//判断网站iframe方法 getParentUrl() { var url = null; if (parent !== window) { try { url = parent.location.href; } catch (e) { url = document.referrer; } } return url; } //此上方法返回值为null时,我们网站没有被iframe,否则被嵌套 var iframe = getParent
session失效后,跳转到登陆页面的解决办法
yipanbo的专栏
07-21 6697
//判断当前窗口是否有顶级窗口,如果有就让当前的窗口的地址栏发生变化,  function loadTopWindow(){  if (window.top!=null && window.top.document.URL!=document.URL){  window.top.location= document.URL; //这样就可以让登陆窗口显示在整个窗口了  }  }   
js小技巧
SieSteven
09-18 410
在早期asp.ent网站中,iframe的使用非常普遍。作为一种页面结构的设计,在当时也是很方便的,但是会面临一个问题,session超时。如果页面超时需要重新登录的时候,就需要重新登录。但是总会在iframe内页显示登录页面。 前一段时间浏览网页的时候终于看到了类似的处理方法,所以用到了老项目中。语句很简单如下 在login页面中添加如下js即可     资源服务平台--登录    
防止IFRAME嵌套并自动跳到首页代码.rar
07-04
标题 "防止IFRAME嵌套并自动跳到首页代码.rar" 涉及到的是一种常见的网络安全策略,主要用于防止网站被恶意嵌入到其他站点的IFRAME中。IFRAME是HTML的一种元素,允许在同一个网页中嵌入另一个网页,这在某些情况下...
JS实现iframe中子父页面跨域通讯的方法分析
10-15
JavaScript中,iframe页面与父页面之间的跨域通信是一个常见的需求,特别是在处理嵌套页面交互、第三方组件或服务集成时。由于同源策略的限制,不同源的页面默认不能直接访问对方的DOM元素或JavaScript变量。...
php+iframe 无刷新上传
11-30
`iframe`(Inline Frame)是HTML中的一个元素,可以用来在一个页面嵌套另一个页面,常用于实现无刷新效果。在这里,“php+iframe 无刷新上传”是指利用`PHP`处理文件上传,同时结合`iframe`技术,使得用户在上传...
Enable website display in iframe-crx插件
04-06
然而,出于安全原因,许多现代网站,特别是那些涉及敏感信息或使用某些安全技术的网站,会设置X-Frame-Options头来禁止在`iframe`中展示内容,以防止点击劫持和其他恶意攻击。此外,同源策略(Same-Origin Policy)...
防止html脚本注入的脚本
04-17
通常,这样的过滤器会移除或转义可能的恶意HTML标签,比如`<script>`、`<iframe>`等,以及一些特殊的属性,如`onload`、`onclick`等,这些都是JavaScript事件处理函数,可能会被用于执行恶意代码。 防止HTML脚本...
iframe内嵌页面session失效问题
wsbg54的博客
12-15 7621
//通过服务器端返回的url,当载入login.jsp //判断当前窗口是否有顶级窗口,如果有就让当前的窗口的地址栏发生变化, function loadTopWindow(){ if (window.top!=null && window.top.document.URL!=document.URL){ window.top.location= document.U
如何保证自己的页面不被别人用IFRAME框架嵌套
avinegar的专栏
07-18 3257
今天面试的时候,被问到一些关于js的问题,只能说自己的涉猎范围有限吧,确实没有注意到这些方面,现在拿出来分享一下,希望以后能够多学习些新鲜的知识来充实自己! 如何才能解决自己的页面不被别人嵌套呢?很简单的几行代码就能够解决这样的问题; 在中间加上这么一段javascript代码: if(top.location!=self.location){ top.location=self.lo
破解 js 防 ifram 嵌入方法(绕开防嵌js 实现跨域模拟登入)
Nicolecc的专栏
08-27 8661
运用场景:         我想在我的系统上用ifram嵌入一个他人
网页被注入iframe恶意代码清除工具
sukyle的专栏
05-23 2411
iframkill附加恶意代码清除工具是CSI开发的一款用于清除网页附加iframe框架代码的清除工具,iframkill更新版本为1.1。在中毒电脑上的,在网页文件(asp、html等)文件中往往会加入类似字样iframe框架代码或指其他指向恶意网页的代码。对于单机用户,即使病毒体被成功清除,如果本地保存的网页中被加入的代码没有及时清理的话,用户在打开这些网页时,依然有再次中毒的危险。如查你
关于防止自己网页内容被别人iframe的问题
二東的专栏[人就是需要不断的激发自己]
11-17 9698
今天临下班时,同事突然给我甩过来一个链接: http://www.51feibao.com/shougongxiaozhizuo/com.php?act=view&comid=171, 然后说我们的网页显示在了别人的网站上了,当时同事十分的生气,说这些人实在是太过份了,老是盗取别人的劳动成果。 打来链接一看,果不其然,看到了下面的页面: 凭借多年的经验一看,这明显是被这站长哥们用iframe
禁止网站被别人通过iframe引用
热门推荐
dugujiancheng的专栏
06-14 1万+
解决方案一:js方法 这种方法不可靠,不推荐使用 if(self != top) { top.location = self.location; } 复制代码 把上面的JS代码片段放到你页面的 head 中即可。 解决方案二:Meta标签方法 复制代码 以上两种为前端处理方法,就我个人来说不推荐使用,不过这个也是因人而异的,没有绝对
如何防止自己的网站被比人嵌套在<frame>, <iframe>中
verifocus的博客
02-07 2692
我们经常做一些网站在自己的iframe中来展示,如果一些嵌套页面被别人回去到,就可以将其展示在他人的网站中,一是会自己的资源被比人占用,二是会形成点击劫持。 X-Frame-Options 响应头是发送给浏览器用来表示是否允许一个页面可否在自己活着其他网站的 iframe 中来展现的标记。网站可以使用此功能,来保护自己网站的页面不能被嵌到别人的网站中去,也从而避免了点击劫持 (clickj
iframe嵌套百度页面被拒
最新发布
06-09
嵌套百度页面被拒可能是因为百度的网站防止被其他网站嵌套,以避免恶意的攻击和滥用。为了解决这个问题,你可以尝试以下几个方法: 1. 使用百度API:如果你需要在自己的网站中嵌套百度的一些功能,可以使用百度提供的API,例如百度地图API、百度搜索API等。 2. 使用百度外链:如果你需要在自己的网站中链接到百度的页面,可以使用百度提供的外链,例如百度搜索、百度知道等。 3. 使用代理:如果你确实需要在自己的网站中嵌套百度的页面,可以使用代理服务器,将百度的页面通过代理服务器呈现在你的网站中。 但是需要注意的是,嵌套其他网站的页面可能会存在法律问题和安全问题,所以在使用时需要慎重考虑。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值