IE中的XFS问题,有谁知道更好的解决方法?

时间:2011-01-07 09:28:16

标签: security internet-explorer

IE跨帧泄漏键盘事件,这会引起安全问题。 我发现的唯一建议是检查iframe中的内容是否是最顶层的窗口,否则将其作为最顶层的窗口。

if(top!=self)top.location=self.location;

有谁知道更好的解决方法?

以下是针对该问题的公众咨询的链接,它已经很老了...... http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=77

1 个答案:

答案 0 :(得分:1)

防止您的网站被阻止的更可靠的方法是使用X-Frame-Options标头。该链接讨论了点击劫持,但对策也适用于您的问题,因为攻击需要恶意网站来构建您自己的网站,以便开始嗅探关键事件。 (该链接还指向一篇编码恐怖文章,该文章描述了基于JavaScript的帧破坏方法的难点。)

这是关于帧破坏的一些more background。它包括基于JavaScript的技术,但更喜欢X-Frame-Options方法。