XFS: Cross Frame Script (跨框架脚本) 攻击。
什么是XFS攻击,下面举一个例子:
Tom在QQ上发消息诱骗Jerry点击了下面的连接:
http://thief.com
上面的连接返回了下面的html:
<html>
<head>
<title>IE Cross Frame Scripting Restriction Bypass Example</title>
<script>
function alertKey(e) {
alert("key press = '" + e.which + "'");
}
</script>
</head>
<frameset onload="this.focus();" onblur="this.focus();" cols="100%" onkeypress="alertKey(event);">
<frame src="http://cuishen.iteye.com/" scrolling="auto">
</frameset>
</html>
对于Jerry来说,他以为自己在访问熟悉的网站,殊不知将输入的敏感信息暴露给了Tom (只要将上面alert 改成ajax call)。
魔高一尺,道高一丈,对于XFS攻击也有防御的办法。
主要算法是:
A. 对于确定你的网站没有使用frame的页面要打破frame (frame busting)
<style>
html { visibility:hidden; }
</style>
<script>
if( self == top){
document.documentElement.style.visibility='visible';
}else{
top.location = self.location;
}
</script>
B. 对于有使用iframe 和frame的页面当心anti-busting,换做下面的脚本:
if top <> self then
if top.location.hostname <> self.location.hostname then
top.location = "http://cuishen.iteye.com/"
end if
end if
你的网站可能会毫不知情的被外面包裹一层frame,而变成了一个钓鱼网站,so... 请尽量避免在你的网站使用frame/iframe,并且应用frame busting脚本。
对于user来说,请升级到IE7以上浏览器,并设置:
Navigate sub-frames across different domains
set to "Prompt" or "Disable", 这个将在浏览器层面防御XFS攻击。
分享到:
相关推荐
XFS310安装包,XFS310中文文档,XFS310英文文档;
WOSA/XFS 3.20文档说明和SDK。包含API、SPI和ID 阅读器和摄像头。
CEN/XFS协议第一部分精华,是开发SP和基于XFS的ATMC软件的基础。
一款专门针对xfs文件系统的数据恢复软件。
XFS5152CE参考资料 技术文档
Red Hat Enterprise Linux 6,挂载xfs文件系统所需安装包
xfs labs :A guide for XFS filesystem users and administrators英文文档,很直观的讲解xfs使用 xfs文件系统用户手册,讲解xfs文件系统的使用、原理、设计
xfs_undelete-master
This CWA is revision 3.0 of the XFS interface specification. The move from an XFS 2.0 specification (CWA 13449) to a 3.0 specification has been prompted by a series of factors. Initially, there has ...
WOSA\XFS完整版pdf格式
CEN/XFS向IANA (Internet Assigned Number Authority)申请了一个root代码,为16213。所有的XFS里面提到的设备都在16213下面分配有对应的子树(sub_tree)和节点(node)。在MIB里面,可以通过一串类似于IP地址那样的...
xfs 文件系统结构,原理 英文文档,很直观的讲解xfs使用 xfs文件系统用户手册,讲解xfs文件系统的使用、原理、设计
xfs and shiet for developing application with xfs and stuff
银行金融自助设备标准接口规范 CEN_XFS_13849
xfs filesystem in linux.
XFS新项目优势
XFS_setup_302.zipXFS_setup_302.zipXFS_setup_302.zipXFS_setup_302.zip
一个标准的xfs协议的sp程序,新手做ATM的那去看看吧
WOSA/XFS 3.30 SDK
CEN/XFS定义的SNMP监控协议标准 包括标准文档、MIB库、以及头文件 仅供学习使用