我正在寻找一个指南,该指南描述了如何实现一个工作框架破坏者,该框架破坏者还处理在浏览器中没有激活JS的人。
我读过this very good question但我绝对不会对任何建议感兴趣,比如“不要自己动手”或“也许试试......”。我想看一篇论文,一步一步指导解释每一个“为什么”(没有可能和没有猜测)。学术论文首选。
任何人都可以发布链接到事实上的圣杯纸吗?
感谢,
答案 0 :(得分:6)
老实说,我认为你所描述的是不可能的。如果我错了,请纠正我,但这似乎违反了相同的原产地政策。这是允许浏览器执行的“事实上的Holdy-Grail”文章: http://code.google.com/p/browsersec/wiki/Main 请务必阅读第2节。
*编辑: ClickJacking是一种攻击,可绕过未修补的Web浏览器中相同原始策略的各个方面。试图阻止可能来自未修补的浏览器的所有攻击是一项巨大的任务,因为考虑到该人很可能已被黑客入侵并且与BotNet分开。如果您真的担心易受攻击的Web浏览器,我建议阻止IE6及更低版本。
答案 1 :(得分:2)
在IE8上你有http://blogs.msdn.com/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx(所以一个网站或一个不想成为iframe的网页会设置响应标题X-FRAME-OPTIONS:DENY)。我也在某些时候使用Firefox 3.5.x对它进行了测试,但它确实有效。
否则,链接页面(http://coderrr.wordpress.com/2009/02/13/preventing-frame-busting-and-click-jacking-ui-redressing/)非常准确地描述了问题,以及有多少主要网站今天处理其页面的某些子集,因为大量用户仍然使用IE6等。