1、漏洞描述：

一個框架注入攻擊是一個所有基於GUI的瀏覽器攻擊，它包括任何程式碼如JavaScript、VBScript(ActivX)、Flash、AJAX(html+js+py)。程式碼被注入是由於指令碼沒有對它們正確驗證，攻擊者有可能注入含有惡意內容的frame或iframe標記。“連結注入”是修改站點內容的行為，其方式為將外部站點的URL嵌入其中，或將有易受攻擊的站點中的指令碼的URL嵌入其中。將URL嵌入易受攻擊的站點中，攻擊者便能夠以它為平臺來啟動對其他站點的攻擊，以及攻擊這個易受攻擊的站點本身。

2、檢測條件 ：

被測網站具有互動功能模組，涉及到引數get和post提交等等

3、檢測方法

如果應用程式使用框架，檢查主要瀏覽器視窗的HTML原始碼，其中應包含框架標記(frameset)的程式碼。通過對網站中的get提交的url中的引數進行框架或者連結注入，注入到引數id中後效果：

http://www2.xxx.com/a/index.php？id=Fiframe%3E%3CIFRAME+SRC%3D%22http%3A%2F%2Fwww.baidu.com%22%3E：

效果如下所示：

4、修復方案

建議過濾出所有以下字元：

|    (豎線符號) 
&    (& 符號) 
;    (分號) 
$    (美元符號) 
%    (百分比符號) 
@    (at 符號) 
'    (單引號) 
"    (引號) 
 

\'   (反斜槓轉義單引號) 
\\"  (反斜槓轉義引號) 
<>   (尖括號) 
()   (括號) 
+    (加號) 
CR   (回車符，ASCII 0x0d) 
LF   (換行，ASCII 0x0a) 
,    (逗號) 
\    (反斜槓)

詳細過濾方案，請參考XSS跨站漏洞修復方案。