假设您不希望其他网站在<iframe>中“构建”您的网站:
<iframe src="http://example.org"></iframe>
因此,您可以在所有页面中插入反框架,帧破坏JavaScript:
/* break us out of any containing iframes */
if (top != self) { top.location.replace(self.location.href); }
出色!现在你自动“破解”或突破任何包含iframe。除了一个小问题。
事实证明,你的破坏框架的代码可以被破坏,as shown here:
<script type="text/javascript">
var prevent_bust = 0
window.onbeforeunload = function() { prevent_bust++ }
setInterval(function() {
if (prevent_bust > 0) {
prevent_bust -= 2
window.top.location = 'http://example.org/page-which-responds-with-204'
}
}, 1)
</script>
此代码执行以下操作:
window.onbeforeunload事件处理程序setInterval()每毫秒触发的计时器,如果它看到计数器递增,则将当前位置更改为攻击者控制的服务器我的问题是 - 这更像是一个JavaScript拼图,而不是一个真正的问题 - 你怎么能打败破坏框架的破坏者呢?
我有一些想法,但在我的测试中没有任何效果:
onbeforeunload清除onbeforeunload = null事件无效alert()停止进程让用户知道它正在发生,但不会以任何方式干扰代码;单击“确定”可以正常继续破坏setInterval()计时器我不是一个JavaScript程序员,所以这是我对你的挑战:嘿破坏者,你能破坏破坏框架的破坏者吗?
答案 0 :(得分:202)
FWIW,大多数当前浏览器support X-Frame-Options: deny指令,即使在脚本被禁用时也能正常工作。
IE8:
http://blogs.msdn.com/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx
Firefox(3.6.9)
https://bugzilla.mozilla.org/show_bug.cgi?id=475530
https://developer.mozilla.org/en/The_X-FRAME-OPTIONS_response_header
铬/ Webkit的
http://blog.chromium.org/2010/01/security-in-depth-new-security-features.html
http://trac.webkit.org/changeset/42333
答案 1 :(得分:142)
我不确定这是否可行 - 但如果你不能打破框架,为什么不显示警告。例如,如果您的页面不是“首页”,请创建一个尝试中断框架的setInterval方法。如果在3或4次尝试之后您的页面仍然不是首页 - 创建一个覆盖整个页面的div元素(模态框),其中包含一条消息和一个类似的链接...
您正在未经授权的框架窗口中查看此页面 - (Blah blah ......潜在的安全问题)
点击此链接以解决此问题
不是最好的,但我认为他们没有任何方式可以编写出自己的方式。
答案 2 :(得分:32)
我们在http://seclab.stanford.edu/websec/framebusting/framebust.pdf
的某个网站中使用了以下方法<style>
body {
display : none
}
</style>
<script>
if(self == top) {
document.getElementsByTagName("body")[0].style.display = 'block';
}
else{
top.location = self.location;
}
</script>
答案 3 :(得分:29)
想到这一点,它似乎至少在Firefox和Opera浏览器中起作用。
if(top != self) {
top.onbeforeunload = function() {};
top.location.replace(self.location.href);
}
答案 4 :(得分:22)
考虑到为iframe引入沙箱的当前HTML5标准,当攻击者使用沙箱时,可以禁用此页面中提供的所有帧破坏代码,因为它限制了以下iframe:
allow-forms: Allow form submissions.
allow-popups: Allow opening popup windows.
allow-pointer-lock: Allow access to pointer movement and pointer lock.
allow-same-origin: Allow access to DOM objects when the iframe loaded form same origin
allow-scripts: Allow executing scripts inside iframe
allow-top-navigation: Allow navigation to top level window
现在,请考虑攻击者使用以下代码在iframe中托管您的网站:
<iframe src="URI" sandbox></iframe>
然后,所有JavaScript帧破坏代码都将失败。
检查所有帧总线代码后,只有这种防御适用于所有情况:
<style id="antiClickjack">body{display:none !important;}</style>
<script type="text/javascript">
if (self === top) {
var antiClickjack = document.getElementById("antiClickjack");
antiClickjack.parentNode.removeChild(antiClickjack);
} else {
top.location = self.location;
}
</script>
最初由Gustav Rydstedt, Elie Bursztein, Dan Boneh, and Collin Jackson (2010)提出
答案 5 :(得分:19)
经过一段时间的思考后,我相信这会告诉他们谁是老板......
if(top != self) {
window.open(location.href, '_top');
}
使用_top作为window.open()的目标参数,将在同一窗口中启动它。
答案 6 :(得分:6)
if (top != self) {
top.location.replace(location);
location.replace("about:blank"); // want me framed? no way!
}
答案 7 :(得分:5)
截至2015年,您应该使用CSP2的frame-ancestors指令。这是通过HTTP响应头实现的。
e.g。
Content-Security-Policy: frame-ancestors 'none'
当然,目前还没有很多浏览器支持CSP2,因此最好包含旧的X-Frame-Options标题:
X-Frame-Options: DENY
无论如何,我建议将两者都包括在内,否则您的网站将继续容易受到旧版浏览器Clickjacking攻击的影响,当然即使没有恶意,您也会受到不良框架的攻击。大多数浏览器最近会自动更新,但是出于遗留应用程序兼容性原因,您仍然会让企业用户卡在旧版本的Internet Explorer上。
答案 8 :(得分:5)
好的,所以我们知道这是在一个框架中。所以我们将location.href改为另一个特殊页面,路径为GET变量。我们现在向用户解释发生了什么,并提供了一个带有target =“_ TOP”选项的链接。它很简单,可能会工作(没有测试过),但它需要一些用户交互。也许你可以向用户指出违规网站,并在某个地方为你的网站制造一个羞辱点击夹克的大厅..只是一个想法,但它晚上工作..
答案 9 :(得分:5)
所有提出的解决方案都直接强制改变顶部窗口的位置。如果用户希望框架在那里怎么办?例如搜索引擎图像结果中的顶部框架。
我编写了一个原型,默认情况下所有输入(链接,表单和输入元素)都被禁用和/或在激活时不执行任何操作。
如果检测到包含框架,则会禁用输入,并在页面顶部显示警告消息。警告消息包含一个链接,该链接将在新窗口中打开页面的安全版本。这可以防止页面被用于点击劫持,同时仍允许用户在其他情况下查看内容。
如果未检测到包含帧,则启用输入。
这是代码。您需要将标准HTML属性设置为安全值,并添加包含实际值的附加属性。它可能是不完整的,并且对于完全安全的附加属性(我正在考虑事件处理程序)可能必须以相同的方式处理:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<html>
<head>
<title></title>
<script><!--
function replaceAttributeValuesWithActualOnes( array, attributeName, actualValueAttributeName, additionalProcessor ) {
for ( var elementIndex = 0; elementIndex < array.length; elementIndex += 1 ) {
var element = array[ elementIndex ];
var actualValue = element.getAttribute( actualValueAttributeName );
if ( actualValue != null ) {
element[ attributeName ] = actualValue;
}
if ( additionalProcessor != null ) {
additionalProcessor( element );
}
}
}
function detectFraming() {
if ( top != self ) {
document.getElementById( "framingWarning" ).style.display = "block";
} else {
replaceAttributeValuesWithActualOnes( document.links, "href", "acme:href" );
replaceAttributeValuesWithActualOnes( document.forms, "action", "acme:action", function ( form ) {
replaceAttributeValuesWithActualOnes( form.elements, "disabled", "acme:disabled" );
});
}
}
// -->
</script>
</head>
<body onload="detectFraming()">
<div id="framingWarning" style="display: none; border-style: solid; border-width: 4px; border-color: #F00; padding: 6px; background-color: #FFF; color: #F00;">
<div>
<b>SECURITY WARNING</b>: Acme App is displayed inside another page.
To make sure your data is safe this page has been disabled.<br>
<a href="framing-detection.html" target="_blank" style="color: #090">Continue working safely in a new tab/window</a>
</div>
</div>
<p>
Content. <a href="#" acme:href="javascript:window.alert( 'Action performed' );">Do something</a>
</p>
<form name="acmeForm" action="#" acme:action="real-action.html">
<p>Name: <input type="text" name="name" value="" disabled="disabled" acme:disabled=""></p>
<p><input type="submit" name="save" value="Save" disabled="disabled" acme:disabled=""></p>
</form>
</body>
</html>
答案 10 :(得分:5)
我会勇敢地把帽子戴在这个戒指的上面(很古老),看看我能收集到多少个誓言。
这是我的尝试,它似乎在我测试过的任何地方都能正常工作(Chrome20,IE8和FF14):
(function() {
if (top == self) {
return;
}
setInterval(function() {
top.location.replace(document.location);
setTimeout(function() {
var xhr = new XMLHttpRequest();
xhr.open(
'get',
'http://mysite.tld/page-that-takes-a-while-to-load',
false
);
xhr.send(null);
}, 0);
}, 1);
}());
我将此代码放在<head>中并从<body>的末尾调用它以确保我的页面在开始与恶意代码争论之前呈现,不知道这是否是最好的方法,YMMV。
它是如何运作的?
......我听到你问 - 诚实的答案是,我不真的知道。在我测试的任何地方都花了很多时间才能使它工作,并且它的确切效果会根据你运行它的位置而略有不同。
这背后的想法是:
对于我的http://mysite.tld/page-that-takes-a-while-to-load(XHR的目标),我使用了一个如下所示的PHP脚本:
<?php sleep(5);
会发生什么?
难道你不能避免Chrome和Firefox中的等待时间吗?
显然不是。起初我将XHR指向一个返回404的URL - 这在Firefox中不起作用。然后我尝试了sleep(5);方法,我最终登陆了这个答案,然后我开始以各种方式玩睡眠长度。我找不到行为的真实模式,但我确实发现,如果它太短,特别是Firefox不会玩球(Chrome和IE似乎表现得相当不错)。我不知道实际上“太短”的定义是什么,但每次5秒似乎都可以工作。
如果有任何传递的Javascript忍者希望更好地解释发生了什么,为什么这可能(可能)错误,不可靠,他们见过的最糟糕的代码等我会高兴地听。
答案 11 :(得分:4)
如果你在buster代码之后添加一个警告,那么警报将停止javascript线程,它将让页面加载。这就是StackOverflow的功能,即使我使用帧破坏破坏者,它也会从我的iframe中消失。它也适用于我的简单测试页面。这仅在Windows 3.5上的Firefox 3.5和IE7中进行过测试。
代码:
<script type="text/javascript">
if (top != self){
top.location.replace(self.location.href);
alert("for security reasons bla bla bla");
}
</script>
答案 12 :(得分:4)
好吧,你可以修改计数器的值,但这显然是一个脆弱的解决方案。在确定网站不在框架内之后,您可以通过AJAX加载内容 - 这也不是一个很好的解决方案,但它有望避免触发on beforeload事件(我假设)。
编辑:另一个想法。如果您检测到您在一个框架中,请让用户禁用javascript,然后单击一个链接,将您带到所需的URL(传递一个查询字符串,让您的页面知道告诉用户他们可以重新启用javascript一旦他们是吗)。
编辑2:去核 - 如果你发现你在一个框架中,只需删除你的文档正文内容并打印一些讨厌的消息。
编辑3:你能枚举顶级文档并将所有函数设置为null(即使是匿名函数)吗?
答案 13 :(得分:3)
我想你差不多了。你试过了吗?
window.parent.onbeforeunload = null;
window.parent.location.replace(self.location.href);
或者,或者:
window.parent.prevent_bust = 0;
注意:我实际上没有测试过这个。
答案 14 :(得分:2)
如果查看setInterval()返回的值,它们通常是单个数字,因此您通常可以使用一行代码禁用所有此类中断:
for (var j = 0 ; j < 256 ; ++j) clearInterval(j)
答案 15 :(得分:2)
我可能刚刚找到了破坏框架破坏者破解程序的方法。在我的javascript函数中使用getElementsByName,我在frame buster和实际的frame buster buster脚本之间设置了一个循环。 看看这篇文章。 http://www.phcityonweb.com/frame-buster-buster-buster-2426
答案 16 :(得分:2)
如何反复呼叫破坏者呢?这将创造一个竞争条件,但人们可能希望破坏者出现在最前面:
(function() {
if(top !== self) {
top.location.href = self.location.href;
setTimeout(arguments.callee, 0);
}
})();
答案 17 :(得分:0)
您可以通过使用postMessage()方法来改进整个构想,以允许某些域访问和显示您的内容,同时阻止所有其他域。首先,容器父级必须通过向尝试显示您的页面的contentWindow的{{1}}发布消息来进行自我介绍。并且您的页面必须准备好接受消息,
iframe最后不要忘记将内容包装在等待window.addEventListener("message", receiveMessage, false);
function receiveMessage(event) {
// Use event.origin here like
if(event.origin == "https://perhapsyoucantrustthisdomain.com"){
// code here to block/unblock access ... a method like the one in user1646111's post can be good.
}
else{
// code here to block/unblock access ... a method like the one in user1646111's post can be good.
}
}
事件的函数中。
答案 18 :(得分:0)
使用htaccess避免高位框架集,iframe和任何内容,如图像。
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^http://www\.yoursite\.com/ [NC]
RewriteCond %{HTTP_REFERER} !^$
RewriteRule ^(.*)$ /copyrights.html [L]
这将显示版权页面而非预期。
答案 19 :(得分:0)
setInterval和setTimeout创建一个自动递增的间隔。每次调用setTimeout或setInterval时,此数字都会增加1,因此如果调用setTimeout,您将获得当前的最高值。
var currentInterval = 10000;
currentInterval += setTimeout( gotoHREF, 100 );
for( var i = 0; i < currentInterval; i++ ) top.clearInterval( i );
// Include setTimeout to avoid recursive functions.
for( i = 0; i < currentInterval; i++ ) top.clearTimeout( i );
function gotoHREF(){
top.location.href = "http://your.url.here";
}
因为几乎闻所未闻的是同时有10000个setIntervals和setTimeout工作,并且因为setTimeout返回“最后一个间隔或创建的超时+ 1”,并且因为top.clearInterval仍然可以访问,所以这将打败黑帽子对上述框架网站的攻击。</ p>