เฟรมบัสเตอร์บัสเตอร์ ... จำเป็นต้องใช้รหัสบัสเตอร์

สมมติว่าคุณไม่ต้องการให้เว็บไซต์อื่น ๆ "ใส่เฟรม" ไซต์ของคุณใน<iframe>:

<iframe src="http://example.org"></iframe>

ดังนั้นคุณจึงใส่ JavaScript ป้องกันการวางเฟรมลงในหน้าเว็บของคุณทั้งหมด:

/* break us out of any containing iframes */
if (top != self) { top.location.replace(self.location.href); }

ยอดเยี่ยม ตอนนี้คุณ "หยุด" หรือแยกออกจาก iframe ใด ๆ ที่มีโดยอัตโนมัติ ยกเว้นปัญหาเล็ก ๆ อย่างหนึ่ง

ในฐานะที่เป็นมันจะเปิดออกรหัสกรอบ busting ของคุณสามารถจับ , ตามที่แสดงไว้ที่นี่ :

<script type="text/javascript">
    var prevent_bust = 0  
    window.onbeforeunload = function() { prevent_bust++ }  
    setInterval(function() {  
      if (prevent_bust > 0) {  
        prevent_bust -= 2  
        window.top.location = 'http://example.org/page-which-responds-with-204'  
      }  
    }, 1)  
</script>

รหัสนี้ทำดังต่อไปนี้:

• เพิ่มตัวนับทุกครั้งที่เบราว์เซอร์พยายามนำทางออกจากหน้าปัจจุบันผ่านwindow.onbeforeunloadตัวจัดการเหตุการณ์
• ตั้งค่าตัวจับเวลาที่ยิงทุกมิลลิวินาทีผ่านsetInterval()และหากเห็นตัวนับเพิ่มขึ้นเปลี่ยนตำแหน่งปัจจุบันเป็นเซิร์ฟเวอร์ของการควบคุมของผู้โจมตี
• เซิร์ฟเวอร์ดังกล่าวแสดงหน้าเว็บที่มีรหัสสถานะ HTTP 204ซึ่งไม่ทำให้เบราว์เซอร์สามารถนำทางได้ทุกที่

คำถามของฉันคือ - และนี่คือจิ๊กซอว์จาวาสคริปต์มากกว่าปัญหาที่เกิดขึ้นจริง- คุณจะเอาชนะบัสเตอร์ที่มีเฟรมได้อย่างไร

ฉันมีความคิดเล็กน้อย แต่ไม่มีอะไรทำงานในการทดสอบของฉัน:

• การพยายามล้างonbeforeunloadกิจกรรมผ่านonbeforeunload = nullไม่มีผล
• การเพิ่มalert()กระบวนการหยุดให้ผู้ใช้ทราบว่ามันเกิดขึ้น แต่ไม่ได้ยุ่งเกี่ยวกับรหัสในทางใดทางหนึ่ง คลิกตกลงช่วยให้การหยุดดำเนินการต่อเป็นปกติ
• ฉันไม่สามารถคิดถึงวิธีล้างsetInterval()ตัวจับเวลาได้

ฉันไม่ได้เป็นนักเขียนโปรแกรม JavaScript มากนักดังนั้นนี่คือความท้าทายของฉันสำหรับคุณ: เฮ้บัสเตอร์คุณช่วยปราบบัสเตอร์เฟรมที่น่าจับตามองได้ไหม?

ฉันไม่แน่ใจว่าสิ่งนี้เป็นไปได้หรือไม่ - แต่ถ้าคุณไม่สามารถแยกเฟรมได้ทำไมไม่แสดงแค่คำเตือน ตัวอย่างเช่นหากหน้าของคุณไม่ใช่ "หน้าแรก" ให้สร้างวิธี setInterval ที่พยายามทำลายเฟรม หากหลังจาก 3 หรือ 4 พยายามที่หน้าของคุณยังไม่ได้เป็นหน้าบน - สร้างองค์ประกอบ div ที่ครอบคลุมทั้งหน้า (กล่อง modal) ด้วยข้อความและลิงค์เช่น ...

คุณกำลังดูหน้านี้ในหน้าต่างเฟรมที่ไม่ได้รับอนุญาต - (Blah blah ... ปัญหาความปลอดภัยที่อาจเกิดขึ้น)

คลิกที่ลิงค์นี้เพื่อแก้ไขปัญหานี้

ไม่ใช่สิ่งที่ดีที่สุด แต่ฉันไม่เห็นว่าพวกเขาจะเขียนบทของพวกเขาได้อย่างไร

FWIW เบราว์เซอร์ในปัจจุบันส่วนใหญ่สนับสนุนX-Frame-Options: ปฏิเสธคำสั่งที่ทำงานแม้เมื่อสคริปต์ถูกปิดใช้งาน

IE8:
http://blogs.msdn.com/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx

Firefox (3.6.9)
https://bugzilla.mozilla.org/show_bug.cgi?id=475530
https://developer.mozilla.org/en/The_X-FRAME-OPTIONS_response_header

Chrome / Webkit
http://blog.chromium.org/2010/01/security-in-depth-new-security-features.html
http://trac.webkit.org/changeset/42333

เราได้ใช้แนวทางต่อไปนี้ในเว็บไซต์ของเราจากhttp://seclab.stanford.edu/websec/framebusting/framebust.pdf

<style>
 body { 
 display : none   
}
</style>
<script>
if(self == top) {
document.getElementsByTagName("body")[0].style.display = 'block';
}
else{
top.location = self.location;
}
</script>

มากับสิ่งนี้และดูเหมือนว่าจะทำงานอย่างน้อยใน Firefox และเบราว์เซอร์ Opera

if(top != self) {
 top.onbeforeunload = function() {};
 top.location.replace(self.location.href);
}

เมื่อพิจารณาถึงมาตรฐาน HTML5 ปัจจุบันที่แนะนำ sandbox สำหรับ iframe รหัสการป้องกันเฟรมที่ให้ไว้ในหน้านี้สามารถปิดการใช้งานได้เมื่อผู้โจมตีใช้ sandbox เพราะจะ จำกัด iframe จากการทำตาม:

allow-forms: Allow form submissions.
allow-popups: Allow opening popup windows.
allow-pointer-lock: Allow access to pointer movement and pointer lock.
allow-same-origin: Allow access to DOM objects when the iframe loaded form same origin
allow-scripts: Allow executing scripts inside iframe
allow-top-navigation: Allow navigation to top level window

โปรดดู: http://www.whatwg.org/specs/web-apps/current-work/multipage/the-iframe-element.html#attr-iframe-sandbox

ตอนนี้ผู้โจมตีพิจารณาใช้รหัสต่อไปนี้เพื่อโฮสต์เว็บไซต์ของคุณใน iframe:

<iframe src="URI" sandbox></iframe>

จากนั้นโค้ดการบล็อคเฟรม JavaScript ทั้งหมดจะล้มเหลว

หลังจากตรวจสอบรหัส busing เฟรมทั้งหมดเฉพาะการป้องกันนี้ใช้ได้ในทุกกรณี:

<style id="antiClickjack">body{display:none !important;}</style>
<script type="text/javascript">
   if (self === top) {
       var antiClickjack = document.getElementById("antiClickjack");
       antiClickjack.parentNode.removeChild(antiClickjack);
   } else {
       top.location = self.location;
   }
</script>

ที่เสนอโดยGustav Rydstedt, Elie Bursztein, Dan Boneh และ Collin Jackson (2010)

หลังจากครุ่นคิดเรื่องนี้ซักพักฉันเชื่อว่านี่จะแสดงให้พวกเขาเห็นว่าใครเป็นเจ้านาย ...

if(top != self) {
  window.open(location.href, '_top');
}

การใช้_topเป็นพารามิเตอร์เป้าหมายสำหรับwindow.open()จะเปิดในหน้าต่างเดียวกัน

if (top != self) {
  top.location.replace(location);
  location.replace("about:blank"); // want me framed? no way!
}

ฉันจะกล้าและโยนหมวกของฉันไปที่แหวนบนอันนี้ (เก่าแก่เหมือนเดิม) ดูว่ามีกี่ downvotes ที่ฉันสามารถรวบรวมได้

นี่คือความพยายามของฉันซึ่งดูเหมือนว่าจะทำงานได้ทุกที่ที่ฉันทดสอบ (Chrome20, IE8 และ FF14):

(function() {
    if (top == self) {
        return;
    }

    setInterval(function() {
        top.location.replace(document.location);
        setTimeout(function() {
            var xhr = new XMLHttpRequest();
            xhr.open(
                'get',
                'http://mysite.tld/page-that-takes-a-while-to-load',
                false
            );
            xhr.send(null);
        }, 0);
    }, 1);
}());

ฉันวางโค้ดนี้ใน<head>และเรียกมันว่าจากท้าย<body>เพื่อให้แน่ใจว่าหน้าของฉันจะแสดงผลก่อนที่จะเริ่มโต้เถียงกับรหัสที่เป็นอันตรายไม่ทราบว่านี่เป็นวิธีที่ดีที่สุดหรือไม่ YMMV

มันทำงานยังไง?

... ฉันได้ยินคุณถาม - คำตอบที่ดีคือฉันไม่รู้จริงๆ มันเป็นเรื่องเหลวไหลมากที่จะทำให้มันใช้ได้ทุกที่ที่ฉันทำการทดสอบ

นี่คือความคิดเบื้องหลัง:

• ตั้งฟังก์ชั่นให้ทำงานในช่วงเวลาที่ต่ำที่สุด แนวคิดพื้นฐานที่อยู่เบื้องหลังการแก้ปัญหาที่เป็นจริงใด ๆ ที่ฉันได้เห็นคือการเติมกำหนดการกับเหตุการณ์มากกว่าที่มือปราบเฟรมมี
• ทุกครั้งที่ฟังก์ชั่นเริ่มทำงานให้ลองเปลี่ยนตำแหน่งของเฟรมด้านบน ข้อกำหนดที่ชัดเจนพอสมควร
• นอกจากนี้ยังกำหนดฟังก์ชั่นให้เรียกใช้ทันทีซึ่งจะใช้เวลานานในการทำให้เสร็จสมบูรณ์ (ดังนั้นการปิดกั้นบัสเตอร์บัสเตอร์เฟรมจากการรบกวนการเปลี่ยนตำแหน่ง) ฉันเลือก XMLHttpRequest แบบซิงโครนัสเพราะเป็นกลไกเดียวที่ฉันสามารถนึกได้ว่าไม่จำเป็นต้องมีการโต้ตอบกับผู้ใช้ (หรืออย่างน้อยขอ) การโต้ตอบและไม่เคี้ยวเวลา CPU ของผู้ใช้

สำหรับฉันhttp://mysite.tld/page-that-takes-a-while-to-load(เป้าหมายของ XHR) ฉันใช้สคริปต์ PHP ที่มีลักษณะดังนี้:

<?php sleep(5);

เกิดอะไรขึ้น?

• Chrome และ Firefox รอ 5 วินาทีในขณะที่ XHR เสร็จสมบูรณ์จากนั้นเปลี่ยนเส้นทางไปยัง URL ของหน้าเฟรม
• IE เปลี่ยนเส้นทางสวยมากทันที

คุณไม่สามารถหลีกเลี่ยงเวลารอใน Chrome และ Firefox ได้หรือไม่

ชัดเจนว่าไม่. ตอนแรกฉันชี้ XHR ไปยัง URL ที่จะคืนค่า 404 - สิ่งนี้ไม่ทำงานใน Firefox จากนั้นฉันลองsleep(5);วิธีที่ในที่สุดฉันก็ลงจอดเพื่อหาคำตอบนี้จากนั้นฉันก็เริ่มเล่นกับความยาวของการนอนหลับในรูปแบบต่างๆ ฉันไม่พบรูปแบบพฤติกรรมที่แท้จริง แต่ฉันพบว่าถ้ามันสั้นเกินไป Firefox โดยเฉพาะจะไม่เล่นบอล (Chrome และ IE ดูเหมือนจะประพฤติตัวค่อนข้างดี) ฉันไม่ทราบว่าคำจำกัดความของ "สั้นเกินไป" นั้นเป็นของจริง แต่ 5 วินาทีดูเหมือนจะใช้ได้ทุกครั้ง

หากนินจา Javascript ที่ผ่านการใด ๆ ต้องการอธิบายให้ดีขึ้นว่าเกิดอะไรขึ้นเหตุใดจึงเป็นสิ่งที่ผิดพลาดและไม่น่าเชื่อถือรหัสที่แย่ที่สุดที่พวกเขาเคยเห็นและอื่น ๆ ฉันจะฟังอย่างมีความสุข

ตั้งแต่ปี 2015 คุณควรใช้frame-ancestorsคำสั่งของ CSP2 สำหรับสิ่งนี้ สิ่งนี้ถูกนำไปใช้ผ่านส่วนหัวการตอบกลับ HTTP

เช่น

Content-Security-Policy: frame-ancestors 'none'

แน่นอนว่ามีเบราว์เซอร์ไม่มากที่สนับสนุน CSP2 ดังนั้นจึงควรรวมX-Frame-Optionsส่วนหัวเก่าไว้ด้วย:

X-Frame-Options: DENY

ฉันขอแนะนำให้รวมทั้งสองอย่างมิฉะนั้นไซต์ของคุณจะยังคงเสี่ยงต่อการถูกโจมตีของClickjackingในเบราว์เซอร์รุ่นเก่าและแน่นอนว่าคุณจะได้รับเฟรมที่ไม่พึงประสงค์แม้ว่าจะไม่มีเจตนาร้ายก็ตาม เบราว์เซอร์ส่วนใหญ่ทำการอัปเดตโดยอัตโนมัติในวันนี้อย่างไรก็ตามคุณยังคงมีแนวโน้มที่จะทำให้ผู้ใช้องค์กรติดอยู่ใน Internet Explorer รุ่นเก่าด้วยเหตุผลความเข้ากันได้ของแอปพลิเคชันรุ่นเก่า

ตกลงดังนั้นเราจึงรู้ว่าอยู่ในกรอบ ดังนั้นเรา location.href ไปยังหน้าพิเศษอีกอันที่มีพา ธ เป็นตัวแปร GET ตอนนี้เราอธิบายให้ผู้ใช้ทราบถึงสิ่งที่เกิดขึ้นและให้ลิงก์กับตัวเลือก target = "_ TOP" ง่ายและอาจใช้งานได้ (ยังไม่ได้ทดสอบ) แต่ต้องมีการโต้ตอบกับผู้ใช้ บางทีคุณอาจชี้ให้เห็นถึงเว็บไซต์ที่ละเมิดต่อผู้ใช้และสร้างความอับอายให้กับผู้คลิกเพื่อไปยังเว็บไซต์ของคุณที่ไหนสักแห่ง .. แค่ไอเดีย แต่มันก็ใช้ได้คืน

โซลูชันที่เสนอทั้งหมดบังคับให้มีการเปลี่ยนแปลงในตำแหน่งของหน้าต่างด้านบนโดยตรง ถ้าผู้ใช้ต้องการให้เฟรมอยู่ตรงนั้น ตัวอย่างเช่นกรอบด้านบนในผลลัพธ์รูปภาพของเครื่องมือค้นหา

ฉันเขียนต้นแบบโดยค่าเริ่มต้นอินพุตทั้งหมด (ลิงก์แบบฟอร์มและองค์ประกอบอินพุต) ถูกปิดใช้งานและ / หรือไม่ทำอะไรเลยเมื่อเปิดใช้งาน

หากตรวจพบเฟรมที่มีอยู่อินพุตจะถูกปิดการใช้งานและจะมีข้อความเตือนปรากฏขึ้นที่ด้านบนของหน้า ข้อความเตือนประกอบด้วยลิงค์ที่จะเปิดเวอร์ชันที่ปลอดภัยของเพจในหน้าต่างใหม่ วิธีนี้จะช่วยป้องกันไม่ให้มีการใช้หน้าเว็บสำหรับ Clickjacking ในขณะที่ยังคงให้ผู้ใช้สามารถดูเนื้อหาในสถานการณ์อื่น ๆ

หากตรวจไม่พบเฟรมที่มีอยู่อินพุตจะถูกเปิดใช้งาน

นี่คือรหัส คุณต้องตั้งค่าแอตทริบิวต์ HTML มาตรฐานให้เป็นค่าที่ปลอดภัยและเพิ่มแอตทริบิวต์ของ additonal ที่มีค่าจริง มันอาจจะไม่สมบูรณ์และเพื่อความปลอดภัยอย่างเต็มรูปแบบคุณสมบัติเพิ่มเติม (ฉันกำลังคิดเกี่ยวกับการจัดการเหตุการณ์) อาจจะต้องได้รับการปฏิบัติในลักษณะเดียวกัน:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<html>
  <head>
    <title></title>
    <script><!--
      function replaceAttributeValuesWithActualOnes( array, attributeName, actualValueAttributeName, additionalProcessor ) {
        for ( var elementIndex = 0; elementIndex < array.length; elementIndex += 1 ) {
          var element = array[ elementIndex ];
          var actualValue = element.getAttribute( actualValueAttributeName );
          if ( actualValue != null ) {
            element[ attributeName ] = actualValue;
          }

          if ( additionalProcessor != null ) {
            additionalProcessor( element );
          }
        }
      }

      function detectFraming() {
        if ( top != self ) {
          document.getElementById( "framingWarning" ).style.display = "block";
        } else {
          replaceAttributeValuesWithActualOnes( document.links, "href", "acme:href" );

          replaceAttributeValuesWithActualOnes( document.forms, "action", "acme:action", function ( form ) {
            replaceAttributeValuesWithActualOnes( form.elements, "disabled", "acme:disabled" );
          });
        }
      }
      // -->
    </script>
  </head>
  <body onload="detectFraming()">
    <div id="framingWarning" style="display: none; border-style: solid; border-width: 4px; border-color: #F00; padding: 6px; background-color: #FFF; color: #F00;">
      <div>
        <b>SECURITY WARNING</b>: Acme App is displayed inside another page.
        To make sure your data is safe this page has been disabled.<br>
        <a href="framing-detection.html" target="_blank" style="color: #090">Continue working safely in a new tab/window</a>
      </div>
    </div>
    <p>
      Content. <a href="#" acme:href="javascript:window.alert( 'Action performed' );">Do something</a>
    </p>
    <form name="acmeForm" action="#" acme:action="real-action.html">
      <p>Name: <input type="text" name="name" value="" disabled="disabled" acme:disabled=""></p>
      <p><input type="submit" name="save" value="Save" disabled="disabled" acme:disabled=""></p>
    </form>
  </body>
</html>

ทีนี้คุณสามารถปรับเปลี่ยนค่าของตัวนับได้ แต่นั่นเป็นวิธีที่เปราะ คุณสามารถโหลดเนื้อหาของคุณผ่าน AJAX ได้หลังจากที่คุณระบุว่าไซต์นั้นไม่ได้อยู่ในเฟรม - ยังไม่ใช่โซลูชันที่ยอดเยี่ยม แต่หวังว่าจะช่วยหลีกเลี่ยงการถ่ายทำในเหตุการณ์ก่อนที่จะโหลด (ฉันสมมติว่า)

แก้ไข: แนวคิดอื่น หากคุณตรวจพบว่าคุณอยู่ในเฟรมขอให้ผู้ใช้ปิดการใช้งานจาวาสคริปต์ก่อนที่จะคลิกลิงค์ที่จะพาคุณไปยัง URL ที่ต้องการ (ผ่านการสอบถามที่ช่วยให้หน้าเว็บของคุณบอกผู้ใช้ว่าสามารถเปิดใช้งานจาวาสคริปต์ได้อีกครั้ง มี)

แก้ไข 2: Go nuclear - หากคุณตรวจพบว่าคุณอยู่ในเฟรมให้ลบเนื้อหาเนื้อหาของเอกสารและพิมพ์ข้อความที่น่ารังเกียจ

แก้ไข 3: คุณสามารถระบุเอกสารด้านบนและตั้งค่าฟังก์ชั่นทั้งหมดให้เป็นโมฆะ (แม้จะเป็นแบบไม่ระบุชื่อ) ได้หรือไม่?

หากคุณเพิ่มการแจ้งเตือนทันทีหลังจากรหัสบัสเตอร์การแจ้งเตือนจะหยุดการทำงานของเธรด javascript และจะทำให้การโหลดหน้าเว็บ นี่คือสิ่งที่ StackOverflow ทำและหลุดออกจาก iframe ของฉันแม้ว่าฉันจะใช้บัสเตอร์ที่จับเฟรม นอกจากนี้ยังทำงานกับหน้าทดสอบอย่างง่ายของฉัน สิ่งนี้ได้รับการทดสอบใน Firefox 3.5 และ IE7 บน windows เท่านั้น

รหัส:

<script type="text/javascript">
if (top != self){
  top.location.replace(self.location.href);
  alert("for security reasons bla bla bla");
}
</script>

ฉันคิดว่าคุณเกือบจะอยู่ที่นั่น คุณเคยลองไหม:

window.parent.onbeforeunload = null;
window.parent.location.replace(self.location.href);

หรืออีกทางหนึ่ง:

window.parent.prevent_bust = 0;

หมายเหตุ: ฉันไม่ได้ทดสอบสิ่งนี้

แล้วการเรียกบัสเตอร์ด้วยซ้ำล่ะ? สิ่งนี้จะสร้างสภาพการแข่งขัน แต่ใคร ๆ ก็หวังว่ามือปราบจะออกมาด้านบน:

(function() {
    if(top !== self) {
        top.location.href = self.location.href;
        setTimeout(arguments.callee, 0);
    }
})();

หากคุณดูค่าที่ส่งคืนโดยsetInterval()พวกเขามักจะเป็นเลขหลักเดียวดังนั้นคุณจึงสามารถปิดการใช้งานอินเตอร์รัปต์ทั้งหมดด้วยรหัสบรรทัดเดียว:

for (var j = 0 ; j < 256 ; ++j) clearInterval(j)

ฉันอาจเพิ่งจะมีวิธีที่จะทำลายจาวาสคริปต์มือปราบบัสเตอร์เฟรม ใช้ getElementsByName ในฟังก์ชั่นจาวาสคริปต์ของฉันฉันได้ตั้งวงวนระหว่างเฟรมบัสเตอร์กับสคริปต์บัสเตอร์เฟรมเฟรมจริง ตรวจสอบโพสต์นี้ออก http://www.phcityonweb.com/frame-buster-buster-buster-2426

setInterval และ setTimeout สร้างช่วงเวลาที่เพิ่มขึ้นโดยอัตโนมัติ แต่ละครั้งที่ setTimeout หรือ setInterval ถูกเรียกหมายเลขนี้จะเพิ่มขึ้นหนึ่งครั้งดังนั้นถ้าคุณเรียกใช้ setTimeout คุณจะได้รับค่าสูงสุดและเป็นปัจจุบัน

   var currentInterval = 10000;
   currentInterval += setTimeout( gotoHREF, 100 );
   for( var i = 0; i < currentInterval; i++ ) top.clearInterval( i );
   // Include setTimeout to avoid recursive functions.
   for( i = 0; i < currentInterval; i++ )     top.clearTimeout( i );

   function gotoHREF(){
           top.location.href = "http://your.url.here";
   }

เนื่องจากแทบจะไม่เคยได้ยินมาก่อนว่าจะมี 10,000 ชุดพร้อมกันตั้งค่าช่วงเวลาและ setTimeouts ทำงานและเนื่องจาก setTimeout ส่งกลับ "ช่วงเวลาสุดท้ายหรือหมดเวลาสร้าง + 1" และเนื่องจาก top.clearInterval ยังคงสามารถเข้าถึงได้สิ่งนี้จะเอาชนะการโจมตีหมวกดำ เว็บไซต์ที่อธิบายไว้ข้างต้น

ใช้ htaccess เพื่อหลีกเลี่ยงเฟรมที่มีช่องเสียบสูง iframe และเนื้อหาใด ๆ เช่นรูปภาพ

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^http://www\.yoursite\.com/ [NC]
RewriteCond %{HTTP_REFERER} !^$
RewriteRule ^(.*)$ /copyrights.html [L]

นี่จะแสดงหน้าลิขสิทธิ์แทนการคาดหวัง