iframe的防插与强插
作者:Monyer 来源:梦之光芒 时间:2009-03-03 12:33:00
注:我指一个网站被第三方网站以iframe的形式调用时,被调用网站的禁止策略 和 调用网站的突破禁止策略,跟XSS麽关系,但跟clickjacking有点联系。(这里简称插与 * ,这样理解起来简单些;并不是指向某一个iframe里插入数据)
网上通用的防插那版是(子http://test2/test2.html):
if(top.location != self.location){
top.location = self.location;
}
强插方案为(父http://test1/test1.html):
var location="";
其中这个location是对被赋值的top.location方法的覆盖,导致方法失效。
昨天又遇到另外一个版本(子http://test2/test2.html):
if(window!=parent){
parent.navigate(location);
}
强插方案为(父http://test1/test1.html):
var navigate="";
即是对parent.navigate方法的覆盖,导致再次引用失效。
那么两个和在一起的强插方案是,在iframe之前加入(父http://test1/test1.html):
<script>var location="";var navigate="";</script>
ok,就这些,睡觉去了!
标签:iframe,框架,插入,location


猜你喜欢
python根据unicode判断语言类型实例代码
2021-08-22 18:24:04
Python批量对word文档进行操作步骤
2022-07-24 03:37:36

sql server 2012 数据库所有表里查找某字符串的方法
2024-01-14 16:16:03
使用sql语句创建和删除约束示例代码
2024-01-15 21:55:51
python实现k-means聚类算法
2022-03-16 22:06:07

C#/.Net 中快速批量给SQLite数据库插入测试数据
2024-01-27 02:19:36
python操作日期和时间的方法
2021-08-29 18:32:59
Golang HTTP服务超时控制实现原理分析
2024-05-08 10:52:16
基于JS实现的随机数字抽签实例
2024-04-16 09:27:23
Asp Oracle存储过程返回结果集的代码
2011-04-10 11:16:00
MSSQL2005数据附加失败报错3456解决办法
2024-01-17 23:17:29
Tensor 和 NumPy 相互转换的实现
2023-07-05 04:55:51
好用的JS图片预加载类
2007-08-13 13:49:00
python 中赋值,深拷贝,浅拷贝的区别
2022-11-15 09:35:44
js清空form表单中的内容示例
2023-08-23 16:22:02
MySQL实现SQL Server的sp_executesql
2008-11-20 15:01:00
python matplotlib如何给图中的点加标签
2023-02-23 12:16:47

用Python解析XML的几种常见方法的介绍
2023-12-18 11:35:08

tesseract-ocr使用以及训练方法
2022-07-06 17:23:37

简单实现jQuery轮播效果
2024-06-07 15:26:25