iframe xss保护不同的域名

时间:2013-02-21 15:47:02

标签: php javascript html xss

几天前我找到了这个网站:http://hsmaker.com/ 我注意到它适用于任何http网站(我检查了大约50个常见网站)。 它将url的内容提取到iframe中,然后我假设它操纵DOM对象添加一些js动作效果。

我想做同样的事情(一个应用程序更有用)但不应该以某种方式禁止这种行为? 我的意思是我之前已经尝试过操作dom对象但是,以下代码对我不起作用(但他可以获取http google.com - 而不是https):

<!DOCTYPE html>
<html>
    <head>
    <meta content="text/html; charset=utf-8" http-equiv="Content-Type">
    </head>
    <body>
        <iframe style="width:100%; height:800px;" src="http://www.google.com"></iframe>
    </body>
</html>

P.S。如果目标网站位于https上,整个故事是否会改变?

1 个答案:

答案 0 :(得分:3)

hsmaker.com没有使用iframe,它们充当代理。

像google这样的网站无法在iframe中使用的原因是因为x-frame-option设置为forbidden

并且即使使用https也不行。