kevinya

這個attack基本上就是駭客會在自己的網站包一些子iframe，然後它的iframe載入的網頁卻是你的網站網頁，不夠小心誤入駭客網站的使用者，在key入帳號密碼的時候，或是登入系統之後的任何操作動作的時候，駭客就可以利用一些javascript的event listener的做法，可以監控子iframe的所有動作，即可監控所有你輸入的資料

解法:
在你的網頁裡的javascript裡面加入下面這一行就可以了
如果你是.net MVC，通常是加入在_Layout.cshtml，如果不想要直接加入在.cshtml裡面，可以查一下專案資料夾App_Start\BundleConfig.cs的設定，看看專案是怎麼打包.js檔的，然後再把下列內容copy一份到被打包的.js檔案裡面即可囉!

<script type="text/javascript" language="javascript">
	////預防掃描出的中風險:Client Cross Frame Scripting Attack      
	if (top != self) { top.location = encodeURI(self.location); } 
	
</script>

參考資料:
Cross Frame Scripting - owasp
https://www.owasp.org/index.php/Cross_Frame_Scripting
Client Cross Frame Scripting Attack
https://dotblogs.com.tw/rainmaker/2017/04/12/102243