黑帽联盟

 找回密码
 会员注册
查看: 2063|回复: 0
打印 上一主题 下一主题

[html] web安全策略之iframe security

[复制链接]
yun 黑帽联盟官方人员 

920

主题

37

听众

1364

积分

超级版主

Rank: 8Rank: 8

  • TA的每日心情
    奋斗
    2019-10-18 11:20
  • 签到天数: 678 天

    [LV.9]以坛为家II

    本帖最后由 yun 于 2018-2-28 13:35 编辑

    对上一篇 web安全策略之iframe sandbox 的相关设置,其实还没有完全可以杜绝子页面控制父页面进行跳转。

    设置sandbox为空时,只能杜绝除了IE浏览器之外的浏览器,但是用IE浏览器打开的话,父页面依然被子页面进行控制,最终还会进行跳转。

    这里要联合security属性一起来杜绝子页面给父页面带来的跳转(或是说带来的不安全因素),设置security属性,主要可以防止IE浏览器这边的跳转

    那到底如何设置呢?很简单,只要在iframe标签里面加一个属性security即可,属性值为:restricted。

    即增加两个:security="restricted" sandbox="",前者是IE的禁止js的功能,后者是HTML5的功能。刚好就可以让IE,Chrome,Firefox这三大浏览器都实现了禁止iframe的自动跳转

    实验什么的你们就自己去测试,写三个网页程序,一个网页程序只带一个sandbox;另一个网页只包含security;最后一个则同时包含sandbox和security两个属性

    最后就是测试,看下效果。在子页面(即被嵌入的页面)里设置该页面被别人调用iframe进行跳转。怎么设置,只要加一个js即可,js内容如下:
    1. <script type="text/javascript">
    2.         if (self!=top){
    3.              window.top.location.replace(self.location); //打开自己网站的页面
    4.             }
    5.         </script>
    复制代码
    对于上面这种跳转,起不到完全作用。后续给大家讲解如何才能完全防止网页被别人iframe


    到这里就结束了。
    帖子永久地址: 

    黑帽联盟 - 论坛版权1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关
    2、本站所有主题由该帖子作者发表,该帖子作者与黑帽联盟享有帖子相关版权
    3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和黑帽联盟的同意
    4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
    5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
    6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
    7、黑帽联盟管理员和版主有权不事先通知发贴者而删除本文

    您需要登录后才可以回帖 登录 | 会员注册

    发布主题 !fastreply! 收藏帖子 返回列表 搜索
    回顶部