Jak zapobiec przekierowaniu przez ramkę IFRAME okna najwyższego poziomu

Question 1

Niektóre strony internetowe mają kod do „wyłamywania” IFRAMEzałączników, co oznacza, że jeśli strona Ajest ładowana jako IFRAMEstrona nadrzędna, Pczęść JavaScript Aprzekierowuje do zewnętrznego okna A.

Zwykle ten JavaScript wygląda mniej więcej tak:

<script type="text/javascript">
  if (top.location.href != self.location.href)
     top.location.href = self.location.href;
</script>

Moje pytanie brzmi: jako autor strony nadrzędnej Pi nie będący autorem strony wewnętrznej A, jak mogę zapobiec Atemu wybuchowi?

PS Wydaje mi się, że powinno to być naruszenie bezpieczeństwa w różnych witrynach, ale tak nie jest.

Question 2

Spróbuj użyć właściwości onbeforeunload, która pozwoli użytkownikowi zdecydować, czy chce opuścić stronę.

Przykład: https://developer.mozilla.org/en-US/docs/Web/API/Window.onbeforeunload

W HTML5 możesz użyć właściwości piaskownicy. Zobacz odpowiedź Pankrata poniżej. http://www.html5rocks.com/en/tutorials/security/sandboxed-iframes/

Question 3

W HTML5 dodano atrybut piaskownicy iframe . W chwili pisania tego tekstu działa to w Chrome, Safari, Firefox i najnowszych wersjach IE i Opery, ale robi prawie to, co chcesz:

<iframe src="url" sandbox="allow-forms allow-scripts"></iframe>

Jeśli chcesz zezwolić na przekierowania najwyższego poziomu, określ sandbox="allow-top-navigation".

Question 4

Używam piaskownicy = „...”

allow-formularze umożliwia przesłanie formularza
allow-popups zezwala na wyskakujące okienka
allow-pointer-lock umożliwia blokowanie wskaźnika
allow-same-origin pozwala dokumentowi zachować swoje pochodzenie
allow-scripts umożliwia wykonywanie JavaScript, a także umożliwia automatyczne uruchamianie funkcji
Zezwól na nawigację od góry umożliwia wyjście dokumentu z ramki przez nawigację w oknie najwyższego poziomu

Górna nawigacja jest tym, co chcesz zapobiec, więc pomiń to, a nie będzie to dozwolone. Wszystko, co zostanie pominięte, zostanie zablokowane

dawny.

        <iframe sandbox="allow-same-origin allow-scripts allow-popups allow-forms" src="http://www.example.com"</iframe>

Question 5

Po przeczytaniu specyfikacji w3.org . Znalazłem właściwość piaskownicy.

Możesz ustawić sandbox="", co zapobiega przekierowaniu elementu iframe. To powiedziawszy, nie przekieruje również elementu iframe. Zasadniczo stracisz kliknięcie.

Przykład tutaj: http://jsfiddle.net/ppkzS/1/
Przykład bez piaskownicy: http://jsfiddle.net/ppkzS/

Question 6

Wiem, że minęło dużo czasu, odkąd pytanie zostało zrobione, ale tutaj moja ulepszona wersja będzie czekała 500 ms na każde kolejne połączenie tylko wtedy, gdy ramka iframe jest załadowana.

<script type="text/javasript">
var prevent_bust = false ;
    var from_loading_204 = false;
    var frame_loading = false;
    var prevent_bust_timer = 0;
    var  primer = true;
    window.onbeforeunload = function(event) {
        prevent_bust = !from_loading_204 && frame_loading;
        if(from_loading_204)from_loading_204 = false;
        if(prevent_bust){
            prevent_bust_timer=500;
        }
    }
    function frameLoad(){
        if(!primer){
            from_loading_204 = true;
            window.top.location = '/?204';
            prevent_bust = false;
            frame_loading = true;
            prevent_bust_timer=1000;
        }else{
            primer = false;
        }
    }
    setInterval(function() {  
        if (prevent_bust_timer>0) {  
            if(prevent_bust){
                from_loading_204 = true;
                window.top.location = '/?204';
                prevent_bust = false;
            }else if(prevent_bust_timer == 1){
                frame_loading = false;
                prevent_bust = false;
                from_loading_204 = false;
                prevent_bust_timer == 0;
            }



        }
        prevent_bust_timer--;
        if(prevent_bust_timer==-100) {
            prevent_bust_timer = 0;
        }
    }, 1);
</script>

i onload="frameLoad()"i onreadystatechange="frameLoad();"mogą być dodawane do ramy lub iframe.

Question 7

Znalazłem kilka przydatnych hacków na ten temat:

Używając JS, w jaki sposób mogę powstrzymać podrzędne elementy iframe przed przekierowaniem lub przynajmniej poprosić użytkowników o przekierowanie

http://www.codinghorror.com/blog/2009/06/we-done-been-framed.html

http://coderrr.wordpress.com/2009/02/13/preventing-frame-busting-and-click-jacking-ui-redressing/

Question 8

Ponieważ strona, którą ładujesz wewnątrz elementu iframe, może wykonać kod „wyłamać” za pomocą parametru setInterval, onbeforeunload może nie być tak praktyczne, ponieważ może spowodować wyświetlenie użytkownikowi komunikatu „Czy na pewno chcesz wyjść?” okna dialogowe.

Istnieje również atrybut bezpieczeństwa iframe, który działa tylko w IE i Opera

:(

Question 9

W moim przypadku chcę, aby użytkownik odwiedził wewnętrzną stronę, aby serwer widział jego adres IP jako odwiedzający. Jeśli użyję techniki proxy php, myślę, że strona wewnętrzna zobaczy mój adres IP serwera jako odwiedzającego, więc nie jest to dobre. Jedynym rozwiązaniem, jakie do tej pory otrzymałem, jest chęć włączenia się przed załadowaniem. Umieść to na swojej stronie:

<script type="text/javascript">
    window.onbeforeunload = function () {                       
         return "This will end your session";
    }
</script>

Działa to zarówno w Firefoksie, jak i to jest to, co testowałem. znajdziesz wersje używające czegoś takiego jak evt.return (cokolwiek) bzdury ... to nie działa w Firefoksie.

Question 10

W ten sposób będziesz mógł kontrolować dowolne działanie strony w ramce, czego nie możesz. Obowiązują zasady dotyczące tej samej domeny .

Answer 1

Niektóre strony internetowe mają kod do „wyłamywania” IFRAMEzałączników, co oznacza, że jeśli strona Ajest ładowana jako IFRAMEstrona nadrzędna, Pczęść JavaScript Aprzekierowuje do zewnętrznego okna A.

Zwykle ten JavaScript wygląda mniej więcej tak:

<script type="text/javascript">
  if (top.location.href != self.location.href)
     top.location.href = self.location.href;
</script>

Moje pytanie brzmi: jako autor strony nadrzędnej Pi nie będący autorem strony wewnętrznej A, jak mogę zapobiec Atemu wybuchowi?

PS Wydaje mi się, że powinno to być naruszenie bezpieczeństwa w różnych witrynach, ale tak nie jest.

Answer 2

Myślę, że nie możesz wiele zrobić ... jeśli nie jesteś autorem zawartości ramki.

scunliffe

Answer 3

43

Spróbuj użyć właściwości onbeforeunload, która pozwoli użytkownikowi zdecydować, czy chce opuścić stronę.

Przykład: https://developer.mozilla.org/en-US/docs/Web/API/Window.onbeforeunload

W HTML5 możesz użyć właściwości piaskownicy. Zobacz odpowiedź Pankrata poniżej. http://www.html5rocks.com/en/tutorials/security/sandboxed-iframes/

fasih.rana
źródło

1

iFrames zrobić umożliwienia komunikacji między domenami, choć przy użyciu postMessage. To nie jest zagrożenie dla bezpieczeństwa, ale ktoś może chcieć wiedzieć, że taka możliwość istnieje, gdy zobaczy Twój komentarz. :)

coreyward

W chwili pisania tej odpowiedzi nie było to możliwe. Dziękuję za zwrócenie uwagi.

fasih.rana

@SirDarius, czy mógłbyś pokazać przykład, bardzo ceniony.

user198989

Użytkownik nie będzie wiedział, dlaczego pojawia się to potwierdzenie i prawdopodobnie wybierze losową odpowiedź. Nie polecam go używać. Istnieją inne rozwiązania - plik sandbox.

oriadam

1

@ fasih.rana Drugi artykuł bardzo mi pomógł. Dziękuję;)

MrD

Answer 4

1

iFrames zrobić umożliwienia komunikacji między domenami, choć przy użyciu postMessage. To nie jest zagrożenie dla bezpieczeństwa, ale ktoś może chcieć wiedzieć, że taka możliwość istnieje, gdy zobaczy Twój komentarz. :)

coreyward

Answer 5

W chwili pisania tej odpowiedzi nie było to możliwe. Dziękuję za zwrócenie uwagi.

fasih.rana

Answer 6

@SirDarius, czy mógłbyś pokazać przykład, bardzo ceniony.

user198989

Answer 7

Użytkownik nie będzie wiedział, dlaczego pojawia się to potwierdzenie i prawdopodobnie wybierze losową odpowiedź. Nie polecam go używać. Istnieją inne rozwiązania - plik sandbox.

oriadam

Answer 8

1

@ fasih.rana Drugi artykuł bardzo mi pomógł. Dziękuję;)

MrD

Answer 9

127

W HTML5 dodano atrybut piaskownicy iframe . W chwili pisania tego tekstu działa to w Chrome, Safari, Firefox i najnowszych wersjach IE i Opery, ale robi prawie to, co chcesz:

<iframe src="url" sandbox="allow-forms allow-scripts"></iframe>

Jeśli chcesz zezwolić na przekierowania najwyższego poziomu, określ sandbox="allow-top-navigation".

Pankrat
źródło

czekaj, co? Pozwolili ci to zrobić? Pomyślałem, że jeśli witryna chce się wydostać, wszystkie przeglądarki na to pozwolą. Jak ludzie powinni trzymać swoją witrynę z dala od ramek iframe, gdy jest to wokół? Nie narzekam, super.

Farzher

3

Oto antidotum: blogs.msdn.com/b/ieinternals/archive/2010/03/30/…

Pankrat

1

@StephenSarcsamKamenar Jeśli chcesz chronić swoją witrynę przed wyświetlaniem w ramce iframe, dostępny jest nagłówek X-Frame-Options z wartością SAMEORIGIN . Większość nowoczesnych przeglądarek nie wyświetla witryny w ramce iframe z tym nagłówkiem.

Grzegorz

4

Niestety sandboxnie zezwala na Flash ani żaden inny typ obiektu w ramce w trybie piaskownicy, przez co ta sandboxfunkcja jest w wielu przypadkach bezużyteczna.

oriadam

1

Witryny nie powinny „wybuchać”, by zaprotestować przeciwko umieszczeniu ich w elemencie iframe. Mogą po prostu pokazać wiadomość lub zniknąć. Niestety, zezwolenie na uruchamianie skryptów w elemencie iframe nadal otwiera cię na nieuczciwy element iframe wykonujący while (1) {} i inne nieskończone pętle. Chciałbym, aby każdy element iframe mógł uzyskać własny wątek.

Gregory Magarshak

Answer 10

czekaj, co? Pozwolili ci to zrobić? Pomyślałem, że jeśli witryna chce się wydostać, wszystkie przeglądarki na to pozwolą. Jak ludzie powinni trzymać swoją witrynę z dala od ramek iframe, gdy jest to wokół? Nie narzekam, super.

Farzher

Answer 11

3

Oto antidotum: blogs.msdn.com/b/ieinternals/archive/2010/03/30/…

Pankrat

Answer 12

1

@StephenSarcsamKamenar Jeśli chcesz chronić swoją witrynę przed wyświetlaniem w ramce iframe, dostępny jest nagłówek X-Frame-Options z wartością SAMEORIGIN . Większość nowoczesnych przeglądarek nie wyświetla witryny w ramce iframe z tym nagłówkiem.

Grzegorz

Answer 13

4

Niestety sandboxnie zezwala na Flash ani żaden inny typ obiektu w ramce w trybie piaskownicy, przez co ta sandboxfunkcja jest w wielu przypadkach bezużyteczna.

oriadam

Answer 14

1

Witryny nie powinny „wybuchać”, by zaprotestować przeciwko umieszczeniu ich w elemencie iframe. Mogą po prostu pokazać wiadomość lub zniknąć. Niestety, zezwolenie na uruchamianie skryptów w elemencie iframe nadal otwiera cię na nieuczciwy element iframe wykonujący while (1) {} i inne nieskończone pętle. Chciałbym, aby każdy element iframe mógł uzyskać własny wątek.

Gregory Magarshak

Answer 15

Używam piaskownicy = „...”

allow-formularze umożliwia przesłanie formularza
allow-popups zezwala na wyskakujące okienka
allow-pointer-lock umożliwia blokowanie wskaźnika
allow-same-origin pozwala dokumentowi zachować swoje pochodzenie
allow-scripts umożliwia wykonywanie JavaScript, a także umożliwia automatyczne uruchamianie funkcji
Zezwól na nawigację od góry umożliwia wyjście dokumentu z ramki przez nawigację w oknie najwyższego poziomu

Górna nawigacja jest tym, co chcesz zapobiec, więc pomiń to, a nie będzie to dozwolone. Wszystko, co zostanie pominięte, zostanie zablokowane

dawny.

        <iframe sandbox="allow-same-origin allow-scripts allow-popups allow-forms" src="http://www.example.com"</iframe>

Answer 16

3

Pamiętaj, że Flash (i wszystkie inne obiekty) również zostaną zablokowane, bez możliwości zezwolenia na to. Ta „funkcja bezpieczeństwa” uniemożliwia mi jednoczesne korzystanie z piaskownicy

oriadam

Answer 17

Po przeczytaniu specyfikacji w3.org . Znalazłem właściwość piaskownicy.

Możesz ustawić sandbox="", co zapobiega przekierowaniu elementu iframe. To powiedziawszy, nie przekieruje również elementu iframe. Zasadniczo stracisz kliknięcie.

Przykład tutaj: http://jsfiddle.net/ppkzS/1/
Przykład bez piaskownicy: http://jsfiddle.net/ppkzS/

Answer 18

Wiem, że minęło dużo czasu, odkąd pytanie zostało zrobione, ale tutaj moja ulepszona wersja będzie czekała 500 ms na każde kolejne połączenie tylko wtedy, gdy ramka iframe jest załadowana.

<script type="text/javasript">
var prevent_bust = false ;
    var from_loading_204 = false;
    var frame_loading = false;
    var prevent_bust_timer = 0;
    var  primer = true;
    window.onbeforeunload = function(event) {
        prevent_bust = !from_loading_204 && frame_loading;
        if(from_loading_204)from_loading_204 = false;
        if(prevent_bust){
            prevent_bust_timer=500;
        }
    }
    function frameLoad(){
        if(!primer){
            from_loading_204 = true;
            window.top.location = '/?204';
            prevent_bust = false;
            frame_loading = true;
            prevent_bust_timer=1000;
        }else{
            primer = false;
        }
    }
    setInterval(function() {  
        if (prevent_bust_timer>0) {  
            if(prevent_bust){
                from_loading_204 = true;
                window.top.location = '/?204';
                prevent_bust = false;
            }else if(prevent_bust_timer == 1){
                frame_loading = false;
                prevent_bust = false;
                from_loading_204 = false;
                prevent_bust_timer == 0;
            }



        }
        prevent_bust_timer--;
        if(prevent_bust_timer==-100) {
            prevent_bust_timer = 0;
        }
    }, 1);
</script>

i onload="frameLoad()"i onreadystatechange="frameLoad();"mogą być dodawane do ramy lub iframe.

Answer 19

Znalazłem kilka przydatnych hacków na ten temat:

Używając JS, w jaki sposób mogę powstrzymać podrzędne elementy iframe przed przekierowaniem lub przynajmniej poprosić użytkowników o przekierowanie

http://www.codinghorror.com/blog/2009/06/we-done-been-framed.html

http://coderrr.wordpress.com/2009/02/13/preventing-frame-busting-and-click-jacking-ui-redressing/

Answer 20

Ponieważ strona, którą ładujesz wewnątrz elementu iframe, może wykonać kod „wyłamać” za pomocą parametru setInterval, onbeforeunload może nie być tak praktyczne, ponieważ może spowodować wyświetlenie użytkownikowi komunikatu „Czy na pewno chcesz wyjść?” okna dialogowe.

Istnieje również atrybut bezpieczeństwa iframe, który działa tylko w IE i Opera

:(

Answer 21

W moim przypadku chcę, aby użytkownik odwiedził wewnętrzną stronę, aby serwer widział jego adres IP jako odwiedzający. Jeśli użyję techniki proxy php, myślę, że strona wewnętrzna zobaczy mój adres IP serwera jako odwiedzającego, więc nie jest to dobre. Jedynym rozwiązaniem, jakie do tej pory otrzymałem, jest chęć włączenia się przed załadowaniem. Umieść to na swojej stronie:

<script type="text/javascript">
    window.onbeforeunload = function () {                       
         return "This will end your session";
    }
</script>

Działa to zarówno w Firefoksie, jak i to jest to, co testowałem. znajdziesz wersje używające czegoś takiego jak evt.return (cokolwiek) bzdury ... to nie działa w Firefoksie.

Answer 22

0

W ten sposób będziesz mógł kontrolować dowolne działanie strony w ramce, czego nie możesz. Obowiązują zasady dotyczące tej samej domeny .

Diodeus - James MacFarlane
źródło

20

Nie proszę o kontrolowanie zawartości IFRAME. Pytam aby zapobiec co jest wewnątrz IFRAME od kontrolowania mnie.

Jason Cohen,

Answer 23

20

Nie proszę o kontrolowanie zawartości IFRAME. Pytam aby zapobiec co jest wewnątrz IFRAME od kontrolowania mnie.

Jason Cohen,

Jak zapobiec przekierowaniu przez ramkę IFRAME okna najwyższego poziomu

Odpowiedzi: