iframe的防插与强插
作者:Monyer 来源:梦之光芒 时间:2009-03-03 12:33:00
注:我指一个网站被第三方网站以iframe的形式调用时,被调用网站的禁止策略 和 调用网站的突破禁止策略,跟XSS麽关系,但跟clickjacking有点联系。(这里简称插与 * ,这样理解起来简单些;并不是指向某一个iframe里插入数据)
网上通用的防插那版是(子http://test2/test2.html):
if(top.location != self.location){
top.location = self.location;
}
强插方案为(父http://test1/test1.html):
var location="";
其中这个location是对被赋值的top.location方法的覆盖,导致方法失效。
昨天又遇到另外一个版本(子http://test2/test2.html):
if(window!=parent){
parent.navigate(location);
}
强插方案为(父http://test1/test1.html):
var navigate="";
即是对parent.navigate方法的覆盖,导致再次引用失效。
那么两个和在一起的强插方案是,在iframe之前加入(父http://test1/test1.html):
<script>var location="";var navigate="";</script>
ok,就这些,睡觉去了!
标签:iframe,框架,插入,location
0
投稿猜你喜欢
asp fso删除非空目录的例子
2008-11-26 20:03:00
dl+ol应用
2008-06-21 17:04:00
基于AJAX技术提高搜索引擎排名
2008-01-24 12:45:00
jQuery初学:find()方法及children方法的区别分析
2011-02-05 10:58:00
表单验证通用脚本(支持所有主流浏览器)
2010-08-08 08:54:00
Web2.0电子商务网站的交互设计
2009-05-15 12:08:00
ASP自动解压RAR文件代码
2007-11-06 13:29:00
ASP连接MSSQL的错误: 拒绝访问
2008-11-23 20:40:00
oracle 存储过程和函数例子
2009-08-08 22:27:00
安装MySQL的步骤和方法
2009-07-30 08:38:00
如何在Unix系统环境下安装MySQL数据库
2009-01-04 13:09:00
css彩色虚线表格及JS鼠标指向单元格变色制作方法
2007-08-10 13:08:00
如何用SQL语句来建表?
2010-06-13 14:38:00
Dreamweaver滑动菜单的制作[图]
2007-11-08 12:43:00
javascript用回车键实现Tab键功能
2009-07-05 18:40:00
网站中视觉元素的设计
2008-04-27 20:47:00
防止网站被采集的理论分析以及十条方法对策第1/2页
2011-03-29 10:38:00
delete from 表名与truncate table 表名区别
2012-11-30 20:31:37
有关缓存 Cache 的随想
2008-06-09 14:25:00
判断浏览器是否接受 Cookie
2009-07-28 17:52:00