我正在使用静态代码分析器分析一个应用程序,它正在标记一个框架破坏脚本,好像它是一个CSRF漏洞,我一直在研究为什么会发生这种情况但没有运气,所以如果有人知道发生了什么我会很感激帮助,这是脚本中有问题的部分:
<script type="text/javascript">
if (self == top) {
document.getElementsByTagName("body")[0].style.display = "block";
} else {
top.location = self.location;
}
</script>
答案 0 :(得分:0)
客户端帧破坏技术不安全(“帧破坏者破坏”)。参见例如https://www.owasp.org/images/0/0e/OWASP_AppSec_Research_2010_Busting_Frame_Busting_by_Rydstedt.pdf
如果您只依赖于上述破坏框架的代码,恶意的人仍然可以设法在iframe中显示您的网站并使用“点击晃动”让不知情的受害者在您的网站上执行操作(即发送一个授权请求执行有害行为而不知道它=跨站点请求'伪造')。