框架破坏,但如果是我的话
Posted
技术标签:
【中文标题】框架破坏,但如果是我的话【英文标题】:Frame busting but not if it's me 【发布时间】:2011-09-11 06:36:43 【问题描述】:我们与另一个网站合作,并希望在我们网站的 iframe 中显示他们的网站。
他们想在他们的网站上实现框架破坏 javascript,这样如果我们以外的任何人试图框架他们的网站,那么他们的网站就会跳出框架。
现在,他们正在使用这样的代码:
<style>
htmldisplay : none ;
</style>
<script>
if( self == top )
document.documentElement.style.display = 'block' ;
else
top.location = self.location ;
</script>
他们如何确保当我们的网站是容器框架时,不会发生框架破坏?
感谢您的帮助!
彼得
【问题讨论】:
【参考方案1】:他们可以检查“else”子句中 top.location 的值,如果它包含您的域名,他们可以跳过破坏。它不像它是安全的或任何东西,但怀疑有人会对愚弄它感兴趣。
【讨论】:
嗨,欧内斯特,感谢您抽出宝贵的时间——非常感谢!只有一个后续问题 top.location 是否暴露给子 iframe?这两个站点在不同的域上,所以我想知道是否会出现 XSS 问题...?以上是关于框架破坏,但如果是我的话的主要内容,如果未能解决你的问题,请参考以下文章