Den Frame Busting Buster besiegen Stellen Sie sich das Szenario vor, in dem Sie verhindern möchten, dass andere Websites Ihre Website in einen einbetten. Dazu integrieren Sie das folgende Frame-Busting-JavaScript in Ihre Seiten:</p> <div class="code" style="position:relative; padding:0px; margin:0px;"><pre>/* break us out of any containing iframes */ if (top != self) { top.location.replace(self.location.href); }</pre><div class="contentsignin">Nach dem Login kopieren</div></div> <p>Dieser Code ist zwar effektiv, kann aber durch einen Frame-Busting-Buster umgangen werden:</p> <div class="code" style="position:relative; padding:0px; margin:0px;"><pre><script type="text/javascript"> var prevent_bust = 0 window.onbeforeunload = function() { prevent_bust++ } setInterval(function() { if (prevent_bust > 0) { prevent_bust -= 2 window.top.location = 'http://example.org/page-which-responds-with-204' } }, 1) </script></pre><div class="contentsignin">Nach dem Login kopieren</div></div> <p>Dies Buster funktioniert wie folgt:</p> <ul> <li>Erhöht einen Zähler bei jedem Navigationsversuch weg vom Seite</li> <li>Verwendung eines Timers, um die Seite auf den Server des Angreifers umzuleiten, wenn der Zähler steigt</li> <li>Abrufen eines 204-HTTP-Statuscodes, der eine weitere Navigation verhindert</li> </ul> <p><strong> Wie besiegen Sie also den Frame-Busting-Buster?</strong></p> <p>Ein wirksamer Ansatz ist die Verwendung von X-Frame-Optionen: Deny-Direktive, unterstützt von den meisten modernen Browsern. Diese Anweisung verhindert das Framing, auch wenn Scripting deaktiviert ist:</p> <div class="code" style="position:relative; padding:0px; margin:0px;"><pre>X-Frame-Options: deny</pre><div class="contentsignin">Nach dem Login kopieren</div></div> <p><strong>Browser-Unterstützung:</strong></p> <ul> <li> <strong>IE8:</strong> https://blogs.msdn.com/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx</li> <li> <p><strong>Firefox (3.6.9):</strong></p> <ul> <li>https://bugzilla.mozilla.org/show_bug.cgi?id=475530</li> <li>htt ps://developer.mozilla.org/en/The_X-FRAME-OPTIONS_response_header</li> </ul> </li> <li> <p><strong>Chrome/Webkit:</strong></p> <ul> <li>http://blog.chromium.org/2010/01/security-in-third-n ew-security-features.html</li> <li>http://trac.webkit.org/changeset/42333</li> </ul> </li> </ul>
