簡體   English   中英

阻止iframe設置parent.location(防止幀爆破)

[英]Block iframe from setting parent.location (prevent framebusting)

我在自己的域中有一個網站,為了快速預覽,我將iframe包含到其他域中的其他站點。

問題在於某些網站具有框架無效代碼,該代碼會將用戶從我的網站重定向。

我該如何阻止。 即使在完全不顯示iframe的情況下,也比在幀破壞器的情況下重定向更好。

不應由同一站點起源保護阻止該重定向嗎?


更新資料

好的,因此似乎不可能阻止它,但是有可能根本不顯示框架。

我嘗試了一種雙框方法:A和B在我的網站上,B包含C,並且當B進入window.onbeforeunload時它向A發送一條消息以刪除B.這也沒有用,因為這些框似乎可以訪問所有到頂部窗口的方式,而不僅僅是父級。

window.onbeforeunload用於阻止重定向btw,但隨后必須顯示一個對話框。

無法執行此操作,因為如果iframe違反了同源策略,則無法訪問該頁面的DOM。

只是不要這樣做。 如果人們有框架無效代碼,那么他們顯然不希望其頁面出現在框架中。 尊重這一點。

如何在彈出窗口中運行測試? 給它20秒鍾,如果您仍然可以控制彈出窗口(即框架沒有更改document.url ),則將其加載到新框架(?)中並顯示給用戶。 否則,不要顯示任何框架。 它不是萬無一失的,但可以工作。

我該如何阻止。

你不能 如果可以的話,它首先會破壞具有破壞幀代碼的目的。

不應由同一站點起源保護阻止該重定向嗎?

那只會保護您避免訪問/修改頁面的DOM(即document對象)。 框架無效代碼僅使用window對象檢測框架並重定向到另一個頁面。

這是只貓捉老鼠的游戲,但可以擊敗幀破壞技術。

斯坦福大學和卡內基梅隆大學的研究人員(PDF)指出,破壞幀並不能有效防止點擊劫持。 通過對Alexa排名前500位的網站進行的分析發現,可以規避所有破壞框架的實施。 研究人員發現,某些規避是針對瀏覽器的,而其他規避則適用於所有瀏覽器。

eweek上的原始文章;
斯坦福大學的研究論文(PDF)

如果您只想預覽該網站,則可以使用許多服務。 我沒有用過,但是通過Google的快速搜索找到了

http://www.thumbshots.com/

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM