IFrame嵌入页面导致的权限问题

已于 2023-02-21 21:19:21 修改
阅读量3.3k 收藏 8
点赞数 3
文章标签: 后端 前端
于 2022-09-14 14:40:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38277138/article/details/126851747
版权

从今天开始,我会在自己的博客中写一点日常开发中遇到的有意思的事情,可能是bug,也可能是解决方案,就当给大家图一乐。。。

发现问题

今天一早我的leader就找到我,说被用户发现了一个越权缺陷,由于是从别人那里接手过来的老项目,我本以为注册个拦截器做下token验证就能搞定的事情。但是真的拿到项目我自己就一愣,发现事情没有那么简单。

问题描述

乙方用户本身就有一个平台,我们的项目是以iframe框架嵌在他们一个页面中,前端访问/api/canvas-run-trs接口,如下图:
在这里插入图片描述

此时通过redirectUser这个方法可以最终给前端返回一个redirct重定向的地址trsHome
在这里插入图片描述
测试人员发现,只要通过postman调用我们的/api/canvas-run-trs接口,就可以从response的header中获取location,即最终重定向页面的url,从而实现越权访问。
在这里插入图片描述

问题分析

这个其实算是历史遗留问题了,外层系统做的是重定向方式的OAuth2,我们拿不到任何登录相关信息,包括用户名、密码、token。前端唯一能拿到的就是我们通过重定向方式以url方式带过去的参数,因此我们需要设计一个其他的方式进行验证。

方案分析

经过讨论,方案分成两块:

  1. 前端通过IFrame的协议控制,非内嵌打开情况下不允许访问(做资源隐藏)
  2. 后端返给前端重定向页面时维护一个短时效的token(5s),页面加载时第一步就是验证token有效性,如果失效则不允许访问

补充:关于IFrame

iframe嵌入是一种快速的表示集成方法,具有以下三方面优点:

1.iframe是一个全新的独立的宿主环境,用于隔离或者访问原始接口及对象,并能够原封不动地将嵌入的网页展现出来;

2.如果有多个网页引用iframe,只需要修改iframe的内容,就可以实现调用的每一个页面内容的更改,方便快捷;

3.重载页面时不需要重载整个页面,只需要重载页面中的一个框架页。

例如,以vue工程为例,我们可以很轻松地嵌入iframe页面,轻松实现页面集成。


<template>

	<div style="padding-top:10px;height:auto">
	
		<iframe id='mainFrame' name='mainFrame' ref='mainFrame' :src="iframeUrl" target="_blank" height='1000px' frameborder="0" width="100%" ></iframe>
	
	</div>

</template>

<script>

export default {

name: 'MyTestResource',

data() {

return{

iframeUrl: "",

}

},

created(){

this.iframeUrl = http://40. + "xxx-ev/ev/xxx/RedirectITA?toUrl=zycx&resouceCode=BBB&token=" + getLocalStorageToken()

}

iframe安全注入服务流程为,用户在本方服务页面进行登录,本方服务向统一身份认证平台验证用户服务权限并得到本方服务令牌。

当用户访问嵌入第三方服务的iframe页面时,本方服务向统一身份认证平台验证用户服务权限并得到第三方服务令牌,通过URL传送给第三方服务,第三方服务解析后向统一身份认证平台验证该用户权限令牌信息,若用户权限令牌信息正确则提供服务。

其中第三方服务对iframe 嵌入可以通过如下配置方式实现。

IE浏览器配置

为了控制iframe嵌入的权限,需要在Headers里面加入X-Frame-Options字段,其有三种值可以配置。

Chrome、Edge浏览器配置

经过测试发现X-Frame-Options 对Chrome及Edge浏览器不起作用,需要配置Content-Security-Policy: frame-ancestors 对iframe 页面嵌入进行安全控制。

X-Frame-Options及 Content-Security-Policy 可以同时配置多个白名单,具体如下:

Content-Security-Policy:

frame-ancestors http://aaa.com http://bbb.com http://ccc.com

X-Frame-Options:

ALLOW-FROM http://aaa.com,http://bbb.com,http://ccc.com

对于Nginx、apache 、IIS、tomcat 等不同的中间件有不同的配置方法,再次不再赘述,读者可以根据需要的场景进行不同配置。

浏览器访问iframe问题

我们在访问iframe 嵌入页面的时候,从本系统前端调用系统后台服务后,sendRedirect到第三方系统后台服务,对X-Frame-Options头进行了验证后,正常应该跳转到请求页面并对本系统浏览器进行内容响应。

实际使用过程中却发生了奇怪的现象,第三方服务验证X-Frame-Options跨站验证后,302 跳转到了请求页面,又302 调用了登出接口,截止302 调用了登录接口,最终为用户响应了登录页面,如下图所示。

哦灬吼吼吼
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iframe被拒绝_IFRAME权限被拒绝的解决方案
culuo8053的博客
08-08 3781
iframe被拒绝I was recently rolling my own AJAX upload script, posting a form to a hidden IFRAME and using the load event to know when the upload was complete. When the upload completed, I wanted to acce...
iframe踩坑之旅
z_jing332的博客
12-13 194
使用前景 前段时间有个需求,要求在移动端嵌入别的商城页面。由于牵扯原生app的功能,选择使用了iframe嵌入。此刻,就是噩梦的开始。 问题 本项目页面暂且叫他父页面嵌入页面为子页面。子页面中存在fixed定位的返回按钮。 在ios下返回按钮不是悬浮在窗口底部,而是呈现出absolute的类似效果。滚动到页面底部才展示返回按钮。 原因 经过百度后发现,ios会选择扩展iframe高度来自适应其中...
js之iframe页面与父页面通信
05-07 570
iframe页面与父页面通信根据iframe中src属性是同域链接还是跨域链接,通信方式也不同。 一、同域下父子页面的通信 父页面parent.html <html> <head> <script type="text/javascript"> function say(){ aler...
解决vue前端iframe框架嵌套第三方网址拒绝访问
最新发布
HD243608836的博客
04-16 1885
Refused to display '嵌套的网址' in a frame because it set 'X-Frame-Options' to 'sameorigin'.
ps -aux和ps -ef区别
Fishfishfishfishcat
08-29 1228
ps命令是Process Status。-aux和-ef基本没有区别,都是"显示全部进程",常常和grep(Globally Regular Expression Print,一种文本搜索工具)一起结合使用: ps -ef|grep 进程名(可以是正则表达式) ps -aux|grep 进程名(等效上面指令) 获取到进程ID号后,使用kill结束掉它。 注:在使用 kill -9 前,应该先使用 kill -15,给目标进程一个清理善后工作的机会。如果没有,可能会留下一些不完整的文件或状态,从而影响服务的
如何在一个系统的页面嵌入另一个系统的页面并实现免登录
诺浅的专栏
11-22 2735
有两个系统A、B,希望在A系统中嵌入B系统的页面,我们是具备B系统的账号密码的,期望是能在嵌入的B系统不用重新登录。比起SSO等步骤,本文提供了一种相对简单的实现方式,实现步骤如下iframe
同一个链接在浏览器打开与iframe引用表现不同
wrc的专栏
03-20 1417
做项目时发现,同一个链接在浏览器打开与iframe引用表现不同。这个页面需要登录态信息,之前已经有登陆过,有cookie,在浏览器能正常打开,但iframe引用却发现打开失败,需要重新登录。打开开发者工具观察请求参数,发现iframe引用多了个referer字段,于是在iframe那加个属性referrerPolicy="no-referrer",没想到竟然ok了……看来是后台校验了一下refer...
使用iframe在网页中嵌入其他网页的方法
09-28
主要介绍了使用iframe在网页中嵌入其他网页的方法,需要的朋友可以参考下
iframe嵌入链接本地环境正常,正式环境重定向到登录解决
02-28
iframe嵌入链接本地环境正常,正式环境重定向到登录解决iframe嵌入链接本地环境正常,正式环境重定向到登录解决iframe嵌入链接本地环境正常,正式环境重定向到登录解决iframe嵌入链接本地环境正常,正式环境重定向到...
JS防止网页被嵌入iframe框架的方法分析
01-19
本文实例讲述了JS防止网页被嵌入iframe框架的方法。分享给大家供大家参考,具体如下: 例如: [removed] if (window!=top) // 判断当前的window对象是否是top对象 top.location.href = [removed].href; // 如果...
iframe跨域常用问题iframe页面自适应
08-20
这是关于iframe使用过程中出现的问题整理的解决方法,关于使用iframe不用单独写接口打通数据,直接把数据通过ifarme嵌套方法传递过去,使用简单方便。
在vue中实现嵌套页面(iframe)
11-19
vue中嵌套iframe,将要嵌套的文件放在static下面。src可以使用相对路径,也可使用服务器根路径http:localhost:8088/… <iframe src=”../../static/plusPro.html” width=”1200″ height=”300″ frameborder=”0″ scrolling=”auto”style=”position:absolute;top: -300px;left: 0px;”></iframe> 补充知识:关于VUE嵌套iframe的一系列问题 此文是建立在vue-cli之上 ,当然单写也可以,下文会涉及一些关于cli的知识,
解决双iframe互相刷新进入死循环的问题
04-10
NULL 博文链接:https://ufoqhmdt.iteye.com/blog/1313734
vue项目权限管理
黎小小的博客
08-25 809
权限管理主要分为后端权限前端权限后端权限是关键,主要控制对数据库的操作;前端权限为辅,主要表现在对界面显示、路由导航、按钮显示操作与否、无效请求前端拦截和响应拦截提升用户体验等。
oauth X-Frame-Options 跳转授权页面时,302重定向禁用iframe
weixin_30443895的博客
08-04 1710
因为oauth/authorize响应头包含X-Frame-Options: DENY解决方案:openresty nginx 移除该属性,经测试生效 more_clear_headers X-Frame-Options; ====打印日志,发现没有了该属性; set $resp_header ""; header_filter_by_lua ' loca...
解决iframe嵌套第三方网页,导致鉴权失败无法登录的问题
热门推荐
老衲的少女心i~
05-23 1万+
目录前言一、iframe是什么?二、401 (Unauthorized)三、解决总结 前言 最近遇到的一个问题,老项目的第三方以iframe嵌入的网页,无法正常登录了。 定位问题,发现: 控制台报错401 (Unauthorized),导致的无法正常登录。是因为我们iframe问题,产生了跨域,导致我们的cookie无法共享。 提示:以下是本篇文章正文内容,下面案例可供参考 一、iframe是什么? HTML 内联框架元素 (< iframe >) 表示嵌套的browsing contex
关于iframe页面里的重定向问题
weixin_34082789的博客
04-23 9811
    最近公司做的一个功能,使用了iframe,父页面内嵌子页面,里面的坑还挺多的,上次其实就遇到过,只不过今天在此描述一下。     请允许我画个草图:          外层大圈是父级页面,里层是子级页面,我们是在父级引用子级页面的,由于是两个页面,URL肯定不一样的,“一般的,在子页面做的操作也仅仅对子页面生效”,现在我要说的就是关于这一点的! ...
史上最全的web前端面试题汇总及答案1
qq_40126542的博客
04-17 1130
小编推荐:Fundebug提供JS错误监控、微信小程序错误监控、微信小游戏错误监控,Node.j错误监控和Java错误监控。真的是一个很好用的错误监控费服务,众多大佬公司都在使用。 很早之前就在看web前端面试题,一直想总结一个比较全面又详细的面试题库,现在总结了一些,分享给大家,以后还会持续更新,有些题目有多种答案,本文只给出其中一种,哪里有问题的欢迎指出。 Html&CSS ...
iframe嵌套的页面无法显示_Chrome 80.0后的版本,有些系统无法访问了,怎么回事?...
weixin_39738380的博客
12-01 3573
最近有个项目突然在使用过程中发现,在chrome浏览器下显示拒绝连接,而其他浏览器显示正常。查看请求发现,浏览器访问系统的时候没有将登录成功设置的cookie传递到后端导致系统登录失败,系统自动跳转到登录页面页面无法显示。 查询资料发现,chrome新版本对于iframe嵌入系统的情况,不在发送嵌入系统的cookie。而该项目正是使用的iframe嵌套另外的系统。这...
iframe嵌入网页 加载慢的问题
05-19
1. 压缩网页大小:减小嵌入页面大小可以加速加载速度。可以使用压缩工具,如Gzip来减小文件大小。 2. 减少HTTP请求:减少页面中的HTTP请求可以提高加载速度。可以将多个CSS和JavaScript文件合并为一个文件,并将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值