簡體 English 中英

替換/操作 url 中的“主機名”而不重定向到它

[英]replace/manipulate "hostname" in url without redirecting to it

原文 2021-09-08 06:38:51 7 1 javascript/ penetration-testing

有什么方法可以替換 url 中的主機名，但我不希望瀏覽器加載/重定向/打開替換后的主機名，它應該只是在地址欄中顯示它與它無關。

設想：

我正在測試一個網站（合法），我發現它只是檢查 URL 中的top.location.hostname ，如果它等於self.location.hostname那么它的行為正常，否則它會拋出警報，這就是我猜測的原因如果我可以替換地址欄中的主機名，則可能存在點擊劫持

如果它可以通過 JS 完成，那就太棒了，我可以在 iframe 域命中它之前加載更改名稱的腳本

1 個解決方案

雙幀是針對幀破壞 JavaScript 的首批攻擊之一。 這對於所使用的確切代碼總是非常主觀的，但是您應該在此處檢查是否有任何相關攻擊。

https://owasp.org/www-pdf-archive//OWASP_AppSec_Research_2010_Busting_Frame_Busting_by_Rydstedt.pdf

如果這是一個專業的參與，無論您是否可以繞過框架破壞者，我都會提出這個問題。 X-Frame-Options是最強大的點擊劫持緩解措施，並且永遠不會依賴 JavaScript 來做到這一點。

替換當前網址而不重定向

[英]Replace current URL without redirecting

用OUT重定向將地址欄中的URL替換為子域

[英]Replace URL in address bar with a subdomain withOUT redirecting

如何在不重新加載的情況下操作URL

[英]How to manipulate URL without reload

在不重定向的情況下對網址執行ping操作

[英]Make a ping to a url without redirecting

如何從URL獲取不帶TLD的主機名

[英]How to get the hostname without TLD from a url

如何在Javascript中不包含主機名的情況下獲取引用URL？

[英]How to grab referring URL without the hostname in Javascript?

更改URL參數而不重定向到新URL

[英]Change URL parameter without redirecting to new URL

打開模態，然后在不重定向的情況下更改 url

[英]Open modal and then change the url without redirecting

重定向到 404 組件而不更改瀏覽器中的 URL？

[英]Redirecting to 404 component without changing URL in the browser?

如何使用javascript或jQuery獲取不帶IP或主機名的URL地址？

[英]How to get a URL address without IP or hostname using javascript or jQuery?

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 替換當前網址而不重定向用OUT重定向將地址欄中的URL替換為子域如何在不重新加載的情況下操作URL 在不重定向的情況下對網址執行ping操作如何從URL獲取不帶TLD的主機名如何在Javascript中不包含主機名的情況下獲取引用URL？更改URL參數而不重定向到新URL 打開模態，然后在不重定向的情況下更改 url 重定向到 404 組件而不更改瀏覽器中的 URL？如何使用javascript或jQuery獲取不帶IP或主機名的URL地址？

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM