简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
ホームページ > ウェブフロントエンド > htmlチュートリアル > 本文

iframes_html/css_WEB-ITnose によってページが悪意を持ってネストされるのを防ぐ

WBOY
リリース: 2016-06-24 11:48:39
オリジナル
1631 人が閲覧しました

新しいブログアドレス: http://hengyunabc.github.io/prevent-iframe-stealing/

Origin

情報を見ていると、iframe のネストを防ぐための次のコードを見つけました: 

try {    if (window.top != window.self) {        var ref = document.referer;        if (ref.substring(0, 2) === '//') {            ref = 'http:' + ref;        } else if (ref.split('://').length === 1) {            ref = 'http://' + ref;        }        var url = ref.split('/');        var _l = {auth: ''};        var host = url[2].split('@');        if (host.length === 1) {            host = host[0].split(':');        } else {            _l.auth = host[0];            host = host[1].split(':');        }        var parentHostName = host[0];        if (parentHostName.indexOf("test.com") == -1 && parentHostName.indexOf("test2.com") == -1) {            top.location.href = "http://www.test.com";        }    }} catch (e) {}
ログイン後にコピー

Assume test. , test2.com は独自のドメイン名です。他の Web サイトがこのサイトのページを悪意を持ってネストすると、このサイトのトップページにジャンプします。

上記のコードには 2 つの問題があります:

  • referer のスペルが間違っています。実際には Referrer であるべきです
  • Referrer を解析するコードは複雑すぎるため、正しくない可能性があります

    • どの言語であっても正しくありません。コードを手動で記述することをお勧めします。 URL の複雑さは常人の想像を超えているからです。多くのセキュリティ問題は、URL の不適切な解析によって引き起こされます。たとえば、CSRF を防止する場合は、リファラーを決定します。

    URI 構文:

    http://en.wikipedia.org/wiki/URI_scheme#Generic_syntax

    JavaScript で URL を解析する最良の方法

    JavaScript で URL を解析する最良の方法は、ブラウザの JS エンジンを使用することです、 a タグを作成することで: 

    var getLocation = function(href) {    var l = document.createElement("a");    l.href = href;    return l;};var l = getLocation("http://example.com/path");console.debug(l.hostname)
    ログイン後にコピー

    iframe の悪意のあるネストを防ぐ簡単な方法

    iframe の悪意のあるネストを防ぐ簡単な方法は次のとおりです: 

    if(window.top != window && document.referrer){  var a = document.createElement("a");  a.href = document.referrer;  var host = a.hostname;  var endsWith = function (str, suffix) {      return str.indexOf(suffix, str.length - suffix.length) !== -1;  }  if(!endsWith(host, '.test.com') || !endsWith(host, '.test2.com')){    top.location.href = "http://www.test.com";  }}
    ログイン後にコピー

    Java で URL を処理する方法

    http ://docs. oracle.com/javase/tutorial/networking/urls/urlInfo.html

    contain、indexOf、endWitch などの関数を使用する場合は注意してください。

    参照

    http://stackoverflow.com/questions/736513/how-do-i-parse-a-url-into-hostname-and-path-in-javascript

    http://stackoverflow.com /questions/5522097/prevent-iframe-stealing

    関連ラベル:
    防止页面被iframe恶意嵌套
    ソース:php.cn
    前の記事:9 クールな CSS3 画像プレビュー表示エフェクト_html/css_WEB-ITnose 次の記事:animate.css_html/css_WEB-ITnose に基づく 66 個の CSS メッセージ プロンプト アニメーション効果
    このウェブサイトの声明
    この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
    著者別の最新記事
    最新の問題
    function_exists() はカスタム関数を決定できません Function test () {return true;} if (function_exists ('test')) {echo "テストは関数です";
    から 2024-04-29 11:01:01
    0
    2
    1526
    Google Chromeのモバイル版を表示する方法 こんにちは、先生、Google Chrome をモバイル版に変更するにはどうすればよいですか?
    から 2024-04-23 00:22:19
    0
    10
    1685
    子ウィンドウは親ウィンドウを操作しますが、出力は応答しません。 最初の 2 つの文は実行可能ですが、最後の文は実装できません。
    から 2024-04-19 15:37:47
    0
    1
    1433
    親ウィンドウには出力がありません document.onclick = function(){ window.opener.document.write('私は子ウィンドウの出力です');
    から 2024-04-18 23:52:34
    0
    1
    1359
    CSS マインド マッピングに関するコースウェアはどこにありますか? コースウェア
    から 2024-04-16 10:10:18
    0
    0
    1408
    関連トピック
    詳細>
    人気のおすすめ
    人気のチュートリアル
    詳細>
    関連するチュートリアル
    人気のおすすめ
    最新のコース
    最新のダウンロード
    詳細>
    ウェブエフェクト
    公式サイト
    サイト素材
    フロントエンドテンプレート
    私たちについて 免責事項 Sitemap
    PHP中国語ウェブサイト:福祉オンライン PHP トレーニング,PHP 学習者の迅速な成長を支援します!