在擁有後端的時候,我們固然可以使用X-Frame-Option來防止嵌入
可以避免ClickJacking等等不必要的安全問題
但Blogger和Github、Gitlab Page卻不一樣了 他們只有前端的空間 而且為了方便 通常這些提供商是不會幫用戶設置X-Frame-Option的 安全問題是不會 但如果是內容農場就可能把整個網頁蓋板 讓用戶以為是原本的網站 今天就讓我們用安全的角度看待這個問題吧! 首先,我先一一敘述我在網路上找到現成的程式碼 1.WFUBlog的反框架語法
完整文章看這裡
程式碼:
<!-- 防網頁框架 start -->
<script>
//<![CDATA[
if (top.location != location && document.referrer.search("blogger.com") < 0 && document.referrer.search("blogspot.com") < 0) {
top.location.href = location.href;
}
//]]>
</script>
<!-- 防網頁框架 end -->
說明:
這個程式碼主要是判斷下列幾項 A. top.location —嵌入網站的網址 B. document.referrer —在發送HTTP請求時會帶的一個「Refer」頭 當兩個都判斷是非法的 就直接把top.location (嵌入別人的頁面)的值改成location(被嵌入的頁面)駭客破解方法:
利用iframe中的sandbox屬性可以解決這一種修改top.location的問題
程式碼:
<iframe src="https://www.wfublog.com" sandbox="allow-scripts allow-forms"></iframe>
新增短短一個屬性就能破解了防止嵌入的問題https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Clickjacking_Defense_Cheat_Sheet.md
總結
此篇文章教了大家各種方法但絕對不是要各位去破解他人的網站
未經別人的允許
千萬不要擅自使用
有空我也會寫如何防禦這類的惡意代碼
希望能讓Blogger平台更加強大
0 留言:
張貼留言
歡迎您留言,如果有更進一步的問題,也可以 Messenger 聯絡我們喔