วิธีป้องกันไม่ให้ IFRAME เปลี่ยนเส้นทางหน้าต่างระดับบนสุด

Question 1

บางเว็บไซต์มีรหัสที่จะ "หยุดออก" ของIFRAMEเปลือกซึ่งหมายความว่าถ้าหน้าAจะโหลดเป็นIFRAMEภายในเพจPบางจาวาสคริปต์ในการเปลี่ยนเส้นทางหน้าต่างนอกAA

โดยทั่วไป Javascript นี้จะมีลักษณะดังนี้:

<script type="text/javascript">
  if (top.location.href != self.location.href)
     top.location.href = self.location.href;
</script>

คำถามของฉันคือในฐานะผู้เขียนเพจหลักPและไม่ได้เป็นผู้เขียนเพจด้านในAฉันจะป้องกันไม่ให้Aทำการแบ่งออกได้อย่างไร

ปล. สำหรับฉันแล้วดูเหมือนว่ามันควรจะเป็นการละเมิดความปลอดภัยข้ามไซต์ แต่ก็ไม่ใช่

Question 2

ลองใช้คุณสมบัติ onbeforeunload ซึ่งจะให้ผู้ใช้เลือกว่าต้องการออกจากหน้าหรือไม่

ตัวอย่าง: https://developer.mozilla.org/en-US/docs/Web/API/Window.onbeforeunload

ใน HTML5 คุณสามารถใช้คุณสมบัติ sandbox โปรดดูคำตอบของ Pankrat ด้านล่าง http://www.html5rocks.com/en/tutorials/security/sandboxed-iframes/

Question 3

ด้วย HTML5 คุณลักษณะiframe sandboxถูกเพิ่มเข้ามา ในขณะที่เขียนสิ่งนี้ใช้งานได้บน Chrome, Safari, Firefox และ IE และ Opera เวอร์ชันล่าสุดแต่ทำได้ในสิ่งที่คุณต้องการ:

<iframe src="url" sandbox="allow-forms allow-scripts"></iframe>

หากคุณต้องการที่จะช่วยให้sandbox="allow-top-navigation"การเปลี่ยนเส้นทางระดับบนสุดระบุ

Question 4

ฉันใช้ sandbox = "... "

อนุญาตให้ส่งแบบฟอร์ม
อนุญาตป๊อปอัปอนุญาตให้ป๊อปอัป
allow-pointer-lock ช่วยให้สามารถล็อคตัวชี้ได้
allow-same-origin อนุญาตให้เอกสารรักษาต้นทาง
allow-scripts อนุญาตให้เรียกใช้ JavaScript และยังช่วยให้คุณสมบัติต่างๆเรียกใช้โดยอัตโนมัติ
allow-top-navigation ทำให้เอกสารสามารถแยกออกจากกรอบได้โดยไปที่หน้าต่างระดับบนสุด

การนำทางยอดนิยมคือสิ่งที่คุณต้องการป้องกันดังนั้นอย่าปล่อยให้เป็นเช่นนั้นและจะไม่ได้รับอนุญาต สิ่งที่เหลืออยู่จะถูกปิดกั้น

เช่น

        <iframe sandbox="allow-same-origin allow-scripts allow-popups allow-forms" src="http://www.example.com"</iframe>

Question 5

หลังจากที่ได้อ่านw3.org ข้อมูลจำเพาะ ฉันพบคุณสมบัติแซนด์บ็อกซ์

คุณสามารถตั้งค่าsandbox=""ซึ่งป้องกันไม่ให้ iframe เปลี่ยนเส้นทาง ที่ถูกกล่าวว่าจะไม่เปลี่ยนเส้นทาง iframe ด้วย คุณจะสูญเสียการคลิกเป็นหลัก

ตัวอย่างที่นี่: http://jsfiddle.net/ppkzS/1/
ตัวอย่างที่ไม่มี Sandbox: http://jsfiddle.net/ppkzS/

Question 6

ฉันรู้ว่ามันเป็นคำถามมานานแล้ว แต่นี่คือเวอร์ชันที่ปรับปรุงแล้วของฉันซึ่งจะรอ 500ms สำหรับการโทรครั้งต่อไปเมื่อโหลด iframe เท่านั้น

<script type="text/javasript">
var prevent_bust = false ;
    var from_loading_204 = false;
    var frame_loading = false;
    var prevent_bust_timer = 0;
    var  primer = true;
    window.onbeforeunload = function(event) {
        prevent_bust = !from_loading_204 && frame_loading;
        if(from_loading_204)from_loading_204 = false;
        if(prevent_bust){
            prevent_bust_timer=500;
        }
    }
    function frameLoad(){
        if(!primer){
            from_loading_204 = true;
            window.top.location = '/?204';
            prevent_bust = false;
            frame_loading = true;
            prevent_bust_timer=1000;
        }else{
            primer = false;
        }
    }
    setInterval(function() {  
        if (prevent_bust_timer>0) {  
            if(prevent_bust){
                from_loading_204 = true;
                window.top.location = '/?204';
                prevent_bust = false;
            }else if(prevent_bust_timer == 1){
                frame_loading = false;
                prevent_bust = false;
                from_loading_204 = false;
                prevent_bust_timer == 0;
            }



        }
        prevent_bust_timer--;
        if(prevent_bust_timer==-100) {
            prevent_bust_timer = 0;
        }
    }, 1);
</script>

และonload="frameLoad()"และ onreadystatechange="frameLoad();"ต้องเพิ่มลงในเฟรมหรือ iframe

Question 7

ฉันพบแฮ็กที่มีประโยชน์เกี่ยวกับสิ่งนี้:

การใช้ JS ฉันจะหยุด Iframes ลูกจากการเปลี่ยนเส้นทางได้อย่างไรหรืออย่างน้อยก็แจ้งให้ผู้ใช้ทราบเกี่ยวกับการเปลี่ยนเส้นทาง

http://www.codinghorror.com/blog/2009/06/we-done-been-framed.html

http://coderrr.wordpress.com/2009/02/13/preventing-frame-busting-and-click-jacking-ui-redressing/

Question 8

เนื่องจากหน้าที่คุณโหลดภายใน iframe สามารถรันโค้ด "break out" ด้วย setInterval ได้ดังนั้น onbeforeunload จึงอาจไม่สามารถใช้งานได้จริงเนื่องจากอาจทำให้ผู้ใช้ไม่พอใจด้วย "คุณแน่ใจหรือไม่ว่าต้องการออก" ไดอะล็อก

นอกจากนี้ยังมีแอตทริบิวต์ความปลอดภัย iframe ซึ่งใช้งานได้กับ IE & Opera เท่านั้น

:(

Question 9

ในกรณีของฉันฉันต้องการให้ผู้ใช้ไปที่หน้าด้านในเพื่อให้เซิร์ฟเวอร์เห็น ip ของพวกเขาในฐานะผู้เยี่ยมชม หากฉันใช้เทคนิค php proxy ฉันคิดว่าหน้าภายในจะเห็นเซิร์ฟเวอร์ ip ของฉันในฐานะผู้เยี่ยมชมดังนั้นจึงไม่ดี ทางออกเดียวที่ฉันได้รับจนถึงตอนนี้คือก่อนที่จะโหลด วางสิ่งนี้ไว้ในเพจของคุณ:

<script type="text/javascript">
    window.onbeforeunload = function () {                       
         return "This will end your session";
    }
</script>

สิ่งนี้ใช้ได้ทั้งใน firefox และนั่นคือสิ่งที่ฉันทดสอบ คุณจะพบเวอร์ชันที่ใช้บางอย่างเช่น evt.return (อะไรก็ได้) อึ ... ที่ใช้ไม่ได้ใน firefox

Question 10

ด้วยการทำเช่นนี้คุณจะสามารถควบคุมการกระทำใด ๆ ของหน้าที่ถูกเฟรมซึ่งคุณไม่สามารถทำได้ ใช้นโยบายต้นทางโดเมนเดียวกัน