是否有从domainA加载内容、从domainB提供内容并欺骗http引荐来源网址为domainA的黑客?
这个问题的第 1 部分是 iframe 问题。
您将domainA/page.html嵌入到domainB上的iframe中,http引用自然会是domainA。
那么下面的伪 JavaScript 是否足以保护domainA不被嵌入到domainB上的iframe中? JavaScript 的有效性并不重要,重要的是概念。
if( window.top.href != domainA ) window.top.href = domainA
第 2 部分基本上是欺骗域的任何其他方法。我想你可以在一个客户端一个客户端上伪造http引荐来源网址(例如通过修补离开浏览器的标头)......但这不是什么大问题。 (尽管解释这是如何工作的将是一个很棒的回应)。
Part 1 of this question is the iframe problem.
You embed domainA/page.html in an iframe on domainB, and the http referrer will naturally be domainA.
So is the following pseudo javascript sufficient to protect domainA from being embedded in an iframe on domainB? The javascript validity is not important, just the concept.
if( window.top.href != domainA ) window.top.href = domainA
Part 2 is basically any other method for spoofing the domain. I guess you can fake the http referrer on a client by client basis (by patching the headers leaving the browser for instance)... but this wouldn't be a big deal. (Though explaining how this works would be an awesome response).
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
这段代码会让你跳出国外网站的框架。
如果有人试图通过将您包含在 iframe 中来保留其网站上的会员,则非常有用。
This code will break you out of a frame within a foreign site.
Useful if someone is trying to keep members on their site by including you in a iframe.