0

我正在尝试为跨框架脚本攻击 ( https://www.owasp.org/index.php/Cross_Frame_Scripting ) 做一个 PoC,以在我的工作中展示这种攻击对于任何版本的 IE 浏览器有多危险。X-FRAME-OPTIONS: deny通过在 IE8 或更新版本上使用标头可以轻松防止这种攻击。但是,如果每个开发都在所有 Web 服务器响应中包含这样的标头,那就太好了。使用下面的代码,我可以看到带有键码的警报窗口,但如果是目标页面上的表单,我看不到表单内按下的键的字母。

<script>
        window.onkeydown = function() {
                alert(window.event.keyCode);
        }
</script>
<frameset onload="this.focus()" onblur="this.focus()">
        <frame src="http://www.uol.com.br">
</frameset>

使用下面的简单代码,我可以按下键并同时查看(警报窗口和表单内的字母)。

<script>
        window.onkeydown = function() {
                alert(window.event.keyCode);
        }
</script>
<input>

第一个代码块上是否缺少某些内容?谢谢!

4

1 回答 1

0

您的代码可能没有任何问题。跨框架脚本不是一个真正的漏洞 - 它只是旧版本 Internet Explorer 中的一个漏洞,其中包含onkeypress在父框架内触发事件的错误,尽管域与通常受同源策略保护的域不匹配.

其他跨框架脚本攻击只是名称不同的跨站点脚本攻击,因为它们涉及框架。

于 2014-01-26T18:54:09.847 回答