2. 程式人生 > >防止頁面被iframe惡意巢狀

防止頁面被iframe惡意巢狀

阿新 發佈:2019-02-09

緣起

在看資料時,看到這樣的防止iframe巢狀的程式碼:

try {
    if (window.top != window.self) {
        var ref = document.referer;
        if (ref.substring(0, 2) === '//') {
            ref = 'http:' + ref;
        } else if (ref.split('://').length === 1) {
            ref = 'http://' + ref;
        }
        var url = ref.split('/'
 
);
        var _l = {auth: ''};
        var host = url[2].split('@');
        if (host.length === 1) {
            host = host[0].split(':');
        } else {
            _l.auth = host[0];
            host = host[1].split(':');
        }
        var parentHostName = host[0];
        if (parentHostName.indexOf("test.com"
 
) == -1 && parentHostName.indexOf("test2.com") == -1) {
            top.location.href = "http://www.test.com";
        }
    }
} catch (e) {
}

假定test.com,test2.com是自己的域名,當其它網站惡意巢狀本站的頁面時,跳轉回本站的首頁。

上面的程式碼有兩個問題:

  • referer拼寫錯誤,實際上應該是referrer
  • 解析referrer的程式碼太複雜,還不一定正確

無論在任何語言裡,都不建議手工寫程式碼處理URL。因為url的複雜度超出一般人的想像。很多安全的問題就是因為解析URL不當引起的。比如防止CSRF時判斷referrer。

URI的語法:

在javascript裡解析url最好的辦法

在javascript裡解析url的最好辦法是利用瀏覽器的js引擎,通過建立一個a標籤:

var getLocation = function(href) {
    var l = document.createElement("a");
    l.href = href;
    return l;
};
var l = getLocation("http://example.com/path");
console.debug(l.hostname)

簡潔防iframe惡意巢狀的方法

下面給出一個簡潔的防止iframe惡意巢狀的判斷方法:

if(window.top != window && document.referrer){
  var a = document.createElement("a");
  a.href = document.referrer;
  var host = a.hostname;

  var endsWith = function (str, suffix) {
      return str.indexOf(suffix, str.length - suffix.length) !== -1;
  }

  if(!endsWith(host, '.test.com') || !endsWith(host, '.test2.com')){
    top.location.href = "http://www.test.com";
  }
}

java裡處理URL的方法

用contain, indexOf, endWitch這些函式時都要小心。

 public static void main(String[] args) throws Exception {

        URL aURL = new URL("http://example.com:80/docs/books/tutorial"
                           + "/index.html?name=networking#DOWNLOADING");

        System.out.println("protocol = " + aURL.getProtocol());
        System.out.println("authority = " + aURL.getAuthority());
        System.out.println("host = " + aURL.getHost());
        System.out.println("port = " + aURL.getPort());
        System.out.println("path = " + aURL.getPath());
        System.out.println("query = " + aURL.getQuery());
        System.out.println("filename = " + aURL.getFile());
        System.out.println("ref = " + aURL.getRef());
    }

參考

相關推薦

防止頁面iframe惡意

緣起 在看資料時,看到這樣的防止iframe巢狀的程式碼: try { if (window.top != window.self) { var ref = document.referer; if (

如何防止自己的網站比人在, 中

我們經常做一些網站在自己的iframe中來展示,如果一些巢狀的頁面被別人回去到,就可以將其展示在他人的網站中,一是會自己的資源被比人佔用,二是會形成點選劫持。 X-Frame-Options 響應頭是傳送給瀏覽器用來表示是否允許一個頁面可否在自己活著其他網站的 iframe

前端頁面開發知識點(和分頁)

  1.src裡面的內容是請求路徑,對應controller中的路徑,返回的是要巢狀的頁面路徑 <iframe src="iframe" style="width: 1145px; height: 685px;" n

Golang 頁面模板之間的定義以及靜態檔案的載入方式

先看看我們要實現的效果截圖: [[email protected] ~]# tree $GOPATH/src/contoso.org -L 3  ##檢視專案目錄結構 /root/code/go/src/contoso.org └── booking    

Vue專案中,防止頁面縮放和放大

現在vue的腳手架生成專案之後我們會發現index.html頁面中。 在head標籤中,我們會看到meta標籤中有一條顯示是 <meta name="viewport" content="width=device-width,initial-sca

JS防止頁面嵌入框架

先看下面關於瀏覽器window物件的解釋: http://www.w3school.com.cn/jsref/dom_obj_window.asp Window 物件表示瀏覽器中開啟的視窗。 如果文件包含框架(frame 或 iframe 標籤),瀏覽器會為 HT

iframe雙層後,高度自適應

/**  * 自適應iframe高度  * @param iParentFrameName :父框架ID  * @param iframeName:框架ID  */   function SetIframeSize(iParentFrameName,iframeName)

iframe頁面,瀏覽器提示XXS跨指令碼攻擊攔截

Chrome下出現: The XSS Auditor refused to execute a script in 'http://192.168.16.53/ads/index/viewPostion' because its source code was found w

iframe 不同源頁面怎麼通訊

本文講的是: iframe 巢狀不同源頁面通過 postMessage 通訊 直接上程式碼:自己拿去嘗試一下。 父頁面可以是本地的一個html檔案; 子頁面是用node寫的一張html頁面。 父頁面 <!DOCTYPE html> <h

Asp.net MVC訪問母版頁中iframe頁面時,如果session或cookie過期,登入驗證超時怎樣自動跳轉到登入頁

一般登入驗證的過濾器中,使用驗證過濾器的Redirect方法,將請求重定向到指定的URL。但是如果我們要訪問的頁面是一個巢狀在母版頁中的iframe頁面時,這種重定向只會對iframe頁面湊效,也就是會將iframe也重定向到登入頁,這樣就有違我們的目的了。所以我就嘗試了很多方法來實現讓整個頁面重定向到登入頁

使用網頁iframe標籤,點選左側導航欄,在右側動態顯示頁面的資訊

<!--主體內容部分--> <div class="main"> <!-- 左側導航 --> <div class="main_left"> <div class="li_title">使用者管理<span

vue中頁面 iframe 標籤

vue中巢狀iframe,將要巢狀的檔案放在static下面:   <iframe src="../../../static/bear.html" width="300" height="300" frameborder="0" scrolling="auto"></ifr

點選iframe子框架後的頁面跳轉後出現欄目問題

今天在搭建一個全新後臺的時候,用的iframe框架巢狀的子頁面,當點選子iframe框架上的連結時候,出現了頁面巢狀混亂,如圖 這樣顯然格式是不正確的,百度了一下,只需要修改兩個屬性 (1)在標

html頁面兩個iframe頁面導致第二個iframe頁面高度失效的問題

1:這是因為最裡面巢狀的iframe頁面html和body高度無法設定問題,我的解決辦法是js去控制iframe高度 2:js獲取最子頁面(content內容區域)的高度 var ifremHeight = $("#htmlid").height(); $('iframe').css('height',

iframe頁面頁面相互取元素和方法

小夥伴們經常在實際專案中會用到iframe巢狀頁面,當然很多時候會需要子頁面呼叫用父頁面的元素和父頁面呼叫子頁面的元素 還有方法 直接上程式碼(只介紹jquery因為比較簡單): 1. 父頁面獲取子頁面元素: 格式:$("#iframe的ID").contents().find

vue中頁面iframe

vue中巢狀iframe,將要巢狀的檔案放在static下面。src可以使用相對路徑,也可使用伺服器根路徑http:localhost:8088/… <iframe src="../../static/plusPro.html" width="1200"

關於頁面裡面視訊播放器,使用彈出層之後會視訊擋住

<embed src="http://www.iqiyi.com/player/20140611102651/Player.swf?albumId=250686800&tvId=250686800&autoplay=true&cyclePlay=false&exclusi

pdf.js使用和JS實現Iframe頁面F11全屏效果

1      Pdf.js使用 generic/web/viewer.html主要是渲染pdf閱讀器的樣式,而generic/web/viewer.js則是指定開啟的pdf檔案(當然還有其他功能,不過這些都不是我們關心的),我們看位於generic/web/viewer.j

如何防止標頭檔案重複包含、包含

【轉自】 http://hi.baidu.com/zengzhaonong/blog/item/8a8871062d481f7f03088106.html #include檔案的一個不利之處在於一個頭檔案可能會被多次包含,為了說明這種錯誤,考慮下面的程式碼: #inclu

關於HTTP頭部資訊X-Frame-Options的問題-防止網站

有時候為了防止網頁被別人的網站iFrame,我們可以通過在伺服器設定HTTP頭部中的X-Frame-Options資訊 使用 X-Frame-Options 有三個可選的值: DENY:瀏覽器拒絕當前頁面載入任何Frame頁面 SAMEORIGIN:frame頁面的地址只能