iframe的防插与强插
2009-3-3 22:14:46 分类:技术文章 作者:xloong 已被围观loading 次 被网友评论5条 我要评论
iframe的防插与强插,网上通用的防插那版是(子):
if(top.location != self.location){
top.location = self.location;
}
强插方案为(父):
var location="";
其中这个location是对被赋值的top.location方法的覆盖,导致方法失效。
昨天又遇到另外一个版本(子):
if(window!=parent){
parent.navigate(location);
}
强插方案为(父):
var navigate="";
即是对parent.navigate方法的覆盖,导致再次引用失效。
那么两个和在一起的强插方案是,在iframe之前加入:
<script>var location="";var navigate="";</script>
介绍了“市面上”能见到的两种防御被iframe的方法,以及相应的变态突破方法。
貌似把“受害人”逼上绝路了,我们再来看看这两个方法:
它们都能够判断出自己已经被XX了,可是它们是怎么做的呢?
方法一说:先生,请您出去。
方法二说:同志,请您出去!
然而这先生也说了句:“我就不出去!”
因为“受害人”和这位先生又不是一家子,似乎通过命令对方还无可奈何 —— 同源策略!
但事实上,“请您出去”这种方式显然是针对君子不对小人的,所以Monyer教你一种好方法——“乱棍打出去!”
<script>
window.onload = function(){
if(top!=self){
var f = document.createElement("form");
f.action=location;
f.target="_parent";
document.body.appendChild(f);
f.submit();
}
};
</script>
目前我个人还没有找到突破的方法,所以至少比以上两种方法更暴力一些!
作者:Monyer
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
如原创文章转载,请注明: 转自:夜火博客 [ http://www.15897.com/ ]
本文链接地址: http://www.15897.com/blog/post/iframe-Anti-intercalation.html
已有5位网友对本文做了一针见血的评论 【我要评论】
相关文章
评论:
订阅RSS
搜 索
最新发表
最新评论
最新留言
其 他
在金色坐标博客给你留言了,提醒,刚刚我又去查我的备案,没事有查了查你的,显示未备案,你的网站有可能被退回了,赶快去查查吧!
谢谢提醒,刚上去看了下,还是“报备阶段信息提交 ”的备案阶段
退回信息处理,也是显示还未提交备案信息之类信息
你的面普网很不错啊,想试试能不能找到自己的,还真让我给找到了,呵呵
我的博客还没开,人家说现在博客审核相当严格,过两天开了交换个链接如何,到时还要兄弟提携了!
呵呵,好啊,不过你先看看我的百度收录数再说吧
备案还不知道什么时候能下来
别哪天给我咔嚓了就好了
备案超慢的,更别说赶上大搜查。。备案的人更多。。。。你啊你。。早干啥去了。。。啥?我?。。。。我早干啥去了?我。。我搞站啊,,www.xzmusic.net 哈哈。。