iframe的防插与强插

作者:Monyer 来源:梦之光芒 时间:2009-03-03 12:33:00 

注:我指一个网站被第三方网站以iframe的形式调用时,被调用网站的禁止策略 和 调用网站的突破禁止策略,跟XSS麽关系,但跟clickjacking有点联系。(这里简称插与 * ,这样理解起来简单些;并不是指向某一个iframe里插入数据)

网上通用的防插那版是(子http://test2/test2.html):

if(top.location != self.location){
top.location = self.location;
}

强插方案为(父http://test1/test1.html):

var location="";

其中这个location是对被赋值的top.location方法的覆盖,导致方法失效。

昨天又遇到另外一个版本(子http://test2/test2.html):

if(window!=parent){
parent.navigate(location);
}

强插方案为(父http://test1/test1.html):

var navigate="";

即是对parent.navigate方法的覆盖,导致再次引用失效。

那么两个和在一起的强插方案是,在iframe之前加入(父http://test1/test1.html):

<script>var location="";var navigate="";</script>

ok,就这些,睡觉去了!

iframe的防插与强插(二)

标签:iframe,框架,插入,location
0
投稿

猜你喜欢

  • python根据unicode判断语言类型实例代码

    2021-08-22 18:24:04
  • Python批量对word文档进行操作步骤

    2022-07-24 03:37:36
  • sql server 2012 数据库所有表里查找某字符串的方法

    2024-01-14 16:16:03
  • 使用sql语句创建和删除约束示例代码

    2024-01-15 21:55:51
  • python实现k-means聚类算法

    2022-03-16 22:06:07
  • C#/.Net 中快速批量给SQLite数据库插入测试数据

    2024-01-27 02:19:36
  • python操作日期和时间的方法

    2021-08-29 18:32:59
  • Golang HTTP服务超时控制实现原理分析

    2024-05-08 10:52:16
  • 基于JS实现的随机数字抽签实例

    2024-04-16 09:27:23
  • Asp Oracle存储过程返回结果集的代码

    2011-04-10 11:16:00
  • MSSQL2005数据附加失败报错3456解决办法

    2024-01-17 23:17:29
  • Tensor 和 NumPy 相互转换的实现

    2023-07-05 04:55:51
  • 好用的JS图片预加载类

    2007-08-13 13:49:00
  • python 中赋值,深拷贝,浅拷贝的区别

    2022-11-15 09:35:44
  • js清空form表单中的内容示例

    2023-08-23 16:22:02
  • MySQL实现SQL Server的sp_executesql

    2008-11-20 15:01:00
  • python matplotlib如何给图中的点加标签

    2023-02-23 12:16:47
  • 用Python解析XML的几种常见方法的介绍

    2023-12-18 11:35:08
  • tesseract-ocr使用以及训练方法

    2022-07-06 17:23:37
  • 简单实现jQuery轮播效果

    2024-06-07 15:26:25
  • asp之家 网络编程 m.aspxhome.com