本文深入探讨了ADF应用中如何通过设置oracle.adf.view.rich.security.FRAME_BUSTING参数来使用framebusting功能,旨在防止点击劫持。详细解释了FrameBusting的工作原理、常见配置选项及其在不同场景下的应用。
在ADF应用中,能够通过 oracle.adf.view.rich.security.FRAME_BUSTING 参数来使用framebusting功能。
FrameBusting-结构破坏。FrameBusting主要用于防止点击劫持,常发生于在另一个domain中的恶意网站,通过IFrame的方式,使用一个假冒的网站或者额外的页面元素来覆盖原始页面,在这些假冒页面上,只允许用户看到部分被劫持的原始页面的东西,例如一个按钮,一个文本之类,然后当用户点击这个按钮的时候,其实是按下了假冒的按钮,导致一些意料之外的结果。
简而言之,就是控制是否允许其他web应用通过frame的方式来使用当前web应用的页面。
FrameBusting通过在frames中运行以下这句 JS 代码来实现防止劫持:
top.location.href = location.href;
FrameBusting可能的值有:always,differentDomain,never。其中默认值是differentDomain,只有当来自不同域名的网站尝试使用frame嵌入页面的时候会导致框架破坏。如果选择always则表示无论什么情况下尝试在frame中运行页面都会导致框架破坏。never则表示允许在任何域的页面中是用frame运行该网页。
但是很多时候我们面临的需求却是需要外部(不同domain)的系统能够通过Frame的方式来运行ADF Web应用的,这种情况下需进行下面的配置:
在web.xml中配置该项:
<context-param>
<param-name>oracle.adf.view.rich.security.FRAME_BUSTING</param-name>
<param-value>never</param-value>
</context-param>
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
