Client Cross Frame Scripting Attack

有時白箱工具會掃出 Client Cross Frame Scripting Attack ,

可以在 Header 中加入設定 X-FRAME-OPTIONS 

但是這樣有些 白箱工具並不知道,

客戶還是會要你改到 Report 看不到,

那怎麼辦呢?

 

這時候一般會在js中加入

if (top != self) {top.location = self.location;} 

但這樣子,又會引發另一個 issue,

Client DOM XSRF 問題,

所以解法可以改成

<script>if (top.frames.length != 0) alert(‘error’) </script>

或是加上 encode 去避掉 XSRF 的問題,如下,

top.location = encodeURI(self.location); 

 

感謝同事 Fenny & 江佩珊 的分享 ^_^ 

Hi, 

亂馬客Blog已移到了 「亂馬客​ : Re:從零開始的軟體開發生活

請大家繼續支持 ^_^