防止頁面被iframe惡意巢狀
新blog地址:http://hengyunabc.github.io/prevent-iframe-stealing/
緣起
在看資料時,看到這樣的防止iframe巢狀的程式碼:
try {
if (window.top != window.self) {
var ref = document.referer;
if (ref.substring(0, 2) === `//`) {
ref = `http:` + ref;
} else if (ref.split(`://`).length === 1) {
ref = `http://` + ref;
}
var url = ref.split(`/`);
var _l = {auth: ``};
var host = url[2].split(`@`);
if (host.length === 1) {
host = host[0].split(`:`);
} else {
_l.auth = host[0];
host = host[1].split(`:`);
}
var parentHostName = host[0];
if (parentHostName.indexOf("test.com") == -1 && parentHostName.indexOf("test2.com") == -1) {
top.location.href = "http://www.test.com";
}
}
} catch (e) {
}假定test.com,test2.com是自己的域名,當其它網站惡意巢狀本站的頁面時,跳轉回本站的首頁。
上面的程式碼有兩個問題:
- referer拼寫錯誤,實際上應該是referrer
- 解析referrer的程式碼太複雜,還不一定正確
無論在任何語言裡,都不建議手工寫程式碼處理URL。因為url的複雜度超出一般人的想像。很多安全的問題就是因為解析URL不當引起的。比如防止CSRF時判斷referrer。
URI的語法:
http://en.wikipedia.org/wiki/URI_scheme#Generic_syntax
在javascript裡解析url最好的辦法
在javascript裡解析url的最好辦法是利用瀏覽器的js引擎,通過建立一個a標籤:
var getLocation = function(href) {
var l = document.createElement("a");
l.href = href;
return l;
};
var l = getLocation("http://example.com/path");
console.debug(l.hostname)簡潔防iframe惡意巢狀的方法
下面給出一個簡潔的防止iframe惡意巢狀的判斷方法:
if(window.top != window && document.referrer){
var a = document.createElement("a");
a.href = document.referrer;
var host = a.hostname;
var endsWith = function (str, suffix) {
return str.indexOf(suffix, str.length - suffix.length) !== -1;
}
if(!endsWith(host, `.test.com`) || !endsWith(host, `.test2.com`)){
top.location.href = "http://www.test.com";
}
}java裡處理URL的方法
http://docs.oracle.com/javase/tutorial/networking/urls/urlInfo.html
用contain, indexOf, endWitch這些函式時都要小心。
public static void main(String[] args) throws Exception {
URL aURL = new URL("http://example.com:80/docs/books/tutorial"
+ "/index.html?name=networking#DOWNLOADING");
System.out.println("protocol = " + aURL.getProtocol());
System.out.println("authority = " + aURL.getAuthority());
System.out.println("host = " + aURL.getHost());
System.out.println("port = " + aURL.getPort());
System.out.println("path = " + aURL.getPath());
System.out.println("query = " + aURL.getQuery());
System.out.println("filename = " + aURL.getFile());
System.out.println("ref = " + aURL.getRef());
}參考
http://stackoverflow.com/questions/736513/how-do-i-parse-a-url-into-hostname-and-path-in-javascript
http://stackoverflow.com/questions/5522097/prevent-iframe-stealing
相關文章
- 防止API被惡意呼叫API
- 防止獨立IP被其它惡意域名惡意解析
- iOS多重巢狀頁面iOS巢狀
- 如何防止伺服器被惡意網路攻擊?伺服器
- 寶塔皮膚怎麼防止IP被惡意解析進來?
- easyui 中iframe巢狀頁面,大彈窗自適應居中的解決方法。$('#win').window()UI巢狀
- JQuery iframe頁面jQuery
- Spring Boot 防止介面被惡意重新整理、暴力請求Spring Boot
- 菜鳥站長應該如何防止網站被惡意攻擊網站
- 如何將一個HTML頁面巢狀在另一個頁面中HTML巢狀
- Windows中Google瀏覽器主頁被惡意篡改WindowsGo瀏覽器
- 遞迴元件組合拳,無懼頁面巢狀遞迴元件巢狀
- iframe巢狀(等寬高比自適應:aspectRatio)巢狀
- 使用VS2008的頁面巢狀模板巢狀
- 前端 防止使用 target="_blank" 的惡意攻擊前端
- Iframe內部頁面高度賦值於其父頁面的Iframe標籤賦值
- iframe父子頁面通訊解決方案
- js如何從iframe子頁面中跳出JS
- 第三方系統透過iframe巢狀整合grafana巢狀Grafana
- js實現父頁面獲取iframe子頁面內容程式碼JS
- js父頁面使用iframe中的函式JS函式
- js獲取操作iframe子頁面中元素JS
- 載入頁面:網站如何導致使用者感染惡意軟體網站
- 【防止惡意使用者註冊】-- 手機在網狀態 API 的防欺詐應用解析API
- php頁面巢狀html程式碼,,html中js呼叫php中的陣列PHP巢狀HTMLJS陣列
- 防止網頁被嵌入框架的程式碼網頁框架
- 防止網頁被複製的程式碼網頁
- 防止惡意攻擊,伺服器DDoS防禦軟體科普伺服器
- JavaScript系列:動態建立iframe並載入頁面JavaScript
- js實現的iframe呼叫父頁面函式JS函式
- jquery實現的iframe子頁面和父頁面的相互操作jQuery
- 最新 Mac 惡意軟體 OSX/CrescentCore 被發現Mac
- angular ui-router:簡單的單頁面巢狀路由的實現過程AngularUI巢狀路由
- C# 利用repeater 的巢狀 實現一個自己想要的 日曆頁面C#巢狀
- 破解惡意網頁十大招網頁
- 防止網頁被嵌入框架的程式碼(續)網頁框架
- nginx狀態資訊頁面Nginx
- 分散式的節點能有效地防止惡意攻擊事件分散式事件