帧破坏作为 csrf
frame busting as csrf
我正在使用静态代码分析器分析一个应用程序,它正在标记一个帧破坏脚本,就好像它是一个 CSRF 漏洞一样,我一直在研究为什么会发生这种情况,但没有运气,所以如果有人知道发生了什么非常感谢您的帮助,这是脚本中有问题的部分:
<script type="text/javascript">
if (self == top) {
document.getElementsByTagName("body")[0].style.display = "block";
} else {
top.location = self.location;
}
</script>
客户端帧破坏技术不安全 ("frame buster busting")。参见例如https://www.owasp.org/images/0/0e/OWASP_AppSec_Research_2010_Busting_Frame_Busting_by_Rydstedt.pdf
如果您仅依赖上述 frame-busting 代码,恶意人员仍然可以设法在 iframe 中显示您的网站并使用 "click-jagging" 让毫无戒心的受害者在您的网站上执行操作(即发送授权请求以在不知情的情况下执行有害操作 = 跨站点请求 'forgery').
我正在使用静态代码分析器分析一个应用程序,它正在标记一个帧破坏脚本,就好像它是一个 CSRF 漏洞一样,我一直在研究为什么会发生这种情况,但没有运气,所以如果有人知道发生了什么非常感谢您的帮助,这是脚本中有问题的部分:
<script type="text/javascript">
if (self == top) {
document.getElementsByTagName("body")[0].style.display = "block";
} else {
top.location = self.location;
}
</script>
客户端帧破坏技术不安全 ("frame buster busting")。参见例如https://www.owasp.org/images/0/0e/OWASP_AppSec_Research_2010_Busting_Frame_Busting_by_Rydstedt.pdf
如果您仅依赖上述 frame-busting 代码,恶意人员仍然可以设法在 iframe 中显示您的网站并使用 "click-jagging" 让毫无戒心的受害者在您的网站上执行操作(即发送授权请求以在不知情的情况下执行有害操作 = 跨站点请求 'forgery').