我正在尝试做一个POC来进行跨框架脚本攻击(https://www.owasp.org/index.php/cross_frame_scripting)在我的工作中显示是任何版本的IE浏览器的攻击。通过在IE8或更新版本上使用X-FRAME-OPTIONS: deny标头,可以轻松防止此攻击。但是,如果每个开发都包含所有Web服务器响应中的此类标题,那就太好了。使用下面的代码,我可以看到带有键代码的警报窗口,但如果在目标页面上的表格,则看不到表单内按下的键字母。
<script>
window.onkeydown = function() {
alert(window.event.keyCode);
}
</script>
<frameset onload="this.focus()" onblur="this.focus()">
<frame src="http://www.uol.com.br">
</frameset>
使用下面的简单代码,我可以按键并查看(警报窗口和表单中的字母)。
<script>
window.onkeydown = function() {
alert(window.event.keyCode);
}
</script>
<input>
第一个代码块上是否缺少一些东西?谢谢!
您的代码可能没有错。跨框架脚本不是一个真正的漏洞 - 它只是旧版本的Internet Explorer中的漏洞,其中包含一个错误,尽管域在父框架内触发了onkeypress事件,尽管该域与通常会受到相同原点保护的域不匹配。政策。
其他跨帧脚本攻击只是用不同的名称跨站点脚本攻击。