小贝子编程

我如何禁用某人在iframe中加载页面并使用JavaScript提交

本文关键字：提交 JavaScript 加载何禁用某人 iframe javascript html iframe exploit
更新时间 : 2023-09-07
英文 : How can I disable someone from loading a page in an iframe and using javascript to submit?

标题说明了一切。

想象一下：

<!DOCTYPE html>
<html>
<head>
</head>
<body>
<iframe style="display:none" name="xxx"></iframe>
<form method='POST' action='http://MYPAGE.com/account/' target="xxx" id="xxx">
  <input type='hidden' name='xxxxxxx' value='yyyyyyyy'>
  <input type='submit' value='submit'>
</form>
<script>document.getElementById("xxx").submit()</script>
</body>

如何禁用这样的攻击？

使用X-Frame-Options并将其设置为DENY或SAMEORIGIN。DENY将完全拒绝任何人在iFrame中构建页面，而SAMEORIGIN只允许相同的派生在iFrame中显示页面。有关更多信息，请参见https://coderwall.com/p/kdv1hw。

我如何禁用某人在iframe中加载页面并使用JavaScript提交

相关内容

最新更新

热门标签：