如何禁止某人在iframe中加载页面并使用javascript提交?

时间:2014-03-08 05:07:11

标签: javascript html iframe exploit

标题说明了一切。

想象一下:

<!DOCTYPE html>
<html>
<head>
</head>
<body>
<iframe style="display:none" name="xxx"></iframe>
<form method='POST' action='http://MYPAGE.com/account/' target="xxx" id="xxx">
  <input type='hidden' name='xxxxxxx' value='yyyyyyyy'>
  <input type='submit' value='submit'>
</form>
<script>document.getElementById("xxx").submit()</script>
</body>

如何禁用此类攻击?

1 个答案:

答案 0 :(得分:1)

使用X-Frame-Options并将其设置为DENYSAMEORIGINDENY将完全拒绝任何人在iframe中构建网页,而SAMEORIGIN只会允许相同的来源在iframe中显示该网页。有关详细信息,请参阅https://coderwall.com/p/kdv1hw

相关问题
最新问题