Ramka Buster Buster ... Buster kod potrzebny

FWIW, większość obecnych przeglądarek Obsługujedyrektywę X-Frame-Options: deny, która działa nawet gdy skrypt jest wyłączony.

IE8:
http://blogs.msdn.com/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx

Firefox (3.6.9)
https://bugzilla.mozilla.org/show_bug.cgi?id=475530
https://developer.mozilla.org/en/The_X-FRAME-OPTIONS_response_header

Chrome/Webkit
http://blog.chromium.org/2010/01/security-in-depth-new-security-features.html
http://trac.webkit.org/changeset/42333

Zastosowaliśmy następujące podejście na jednej z naszych stron internetowych z http://seclab.stanford.edu/websec/framebusting/framebust.pdf

<style>
 body { 
 display : none   
}
</style>
<script>
if(self == top) {
document.getElementsByTagName("body")[0].style.display = 'block';
}
else{
top.location = self.location;
}
</script>

Wymyśliłem to i wydaje się działać przynajmniej w Firefoksie i przeglądarce Opera.

if(top != self) {
 top.onbeforeunload = function() {};
 top.location.replace(self.location.href);
}

Biorąc pod uwagę obecny standard HTML5, który wprowadził sandbox dla ramki iframe, wszystkie kody burz ramek, które są dostępne na tej stronie, mogą być wyłączone, gdy atakujący używa sandboxa, ponieważ ogranicza iframe od następujących:

allow-forms: Allow form submissions.
allow-popups: Allow opening popup windows.
allow-pointer-lock: Allow access to pointer movement and pointer lock.
allow-same-origin: Allow access to DOM objects when the iframe loaded form same origin
allow-scripts: Allow executing scripts inside iframe
allow-top-navigation: Allow navigation to top level window

Rozważ, że atakujący użył następującego kodu do hostowania Twojej witryny w iframe:

<iframe src="URI" sandbox></iframe>

Wtedy cała Ramka JavaScript złamanie kodu nie powiedzie się.

Po sprawdzeniu całego kodu szyny, tylko ta obrona działa we wszystkich przypadkach:

<style id="antiClickjack">body{display:none !important;}</style>
<script type="text/javascript">
   if (self === top) {
       var antiClickjack = document.getElementById("antiClickjack");
       antiClickjack.parentNode.removeChild(antiClickjack);
   } else {
       top.location = self.location;
   }
</script>

To pierwotnie zaproponowane przez Gustava Rydstedta, Elie Bursztein, dana Boneha i Collina Jacksona (2010)

Po zastanowieniu się nad tym przez chwilę, wierzę, że to pokaże im, kto tu rządzi...

if(top != self) {
  window.open(location.href, '_top');
}

Użycie _top jako parametru docelowego dla window.open() spowoduje uruchomienie go w tym samym oknie.

if (top != self) {
  top.location.replace(location);
  location.replace("about:blank"); // want me framed? no way!
}

OK, więc wiemy, że były w kadrze. Więc mamy lokalizację.href do innej specjalnej strony ze ścieżką jako zmienną GET. Teraz wyjaśniamy użytkownikowi, co się dzieje i podajemy link z opcją target= "_TOP". Jest prosty i prawdopodobnie zadziała( nie testowałem go), ale wymaga pewnej interakcji użytkownika. Może mógłbyś zwrócić uwagę na obrażającą stronę użytkownikowi i zrobić halę wstydu dla klikaczy na Twoją stronę.. To tylko pomysł, ale praca w nocy..

Wszystkie proponowane rozwiązania wymuszają bezpośrednio zmianę położenia górnego okna. Co jeśli użytkownik chce, aby ramka tam była? Na przykład górna ramka w wynikach zdjęć wyszukiwarek.

Napisałem prototyp, w którym domyślnie wszystkie wejścia (linki, formularze i elementy wejściowe) są wyłączone i/lub nic nie robią po aktywacji.

W przypadku wykrycia ramki zawierającej dane wejściowe są wyłączone, a na górze strony wyświetlany jest komunikat ostrzegawczy. Komunikat ostrzegawczy zawiera link, który otworzy bezpieczną wersję strony w nowym oknie. Zapobiega to używaniu strony do klikania, jednocześnie umożliwiając użytkownikowi przeglądanie zawartości w innych sytuacjach.

Jeśli nie wykryto ramki zawierającej, wejścia są włączone.

Oto kod. Musisz ustawić standardowe atrybuty HTML na bezpieczne wartości i dodać atrybuty dodatkowe, które zawierają rzeczywiste wartości. Prawdopodobnie jest niekompletny i dla pełnego bezpieczeństwa dodatkowe atrybuty (jestem thinking about event handlers) będzie prawdopodobnie musiał być traktowany w ten sam sposób:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<html>
  <head>
    <title></title>
    <script><!--
      function replaceAttributeValuesWithActualOnes( array, attributeName, actualValueAttributeName, additionalProcessor ) {
        for ( var elementIndex = 0; elementIndex < array.length; elementIndex += 1 ) {
          var element = array[ elementIndex ];
          var actualValue = element.getAttribute( actualValueAttributeName );
          if ( actualValue != null ) {
            element[ attributeName ] = actualValue;
          }

          if ( additionalProcessor != null ) {
            additionalProcessor( element );
          }
        }
      }

      function detectFraming() {
        if ( top != self ) {
          document.getElementById( "framingWarning" ).style.display = "block";
        } else {
          replaceAttributeValuesWithActualOnes( document.links, "href", "acme:href" );

          replaceAttributeValuesWithActualOnes( document.forms, "action", "acme:action", function ( form ) {
            replaceAttributeValuesWithActualOnes( form.elements, "disabled", "acme:disabled" );
          });
        }
      }
      // -->
    </script>
  </head>
  <body onload="detectFraming()">
    <div id="framingWarning" style="display: none; border-style: solid; border-width: 4px; border-color: #F00; padding: 6px; background-color: #FFF; color: #F00;">
      <div>
        <b>SECURITY WARNING</b>: Acme App is displayed inside another page.
        To make sure your data is safe this page has been disabled.<br>
        <a href="framing-detection.html" target="_blank" style="color: #090">Continue working safely in a new tab/window</a>
      </div>
    </div>
    <p>
      Content. <a href="#" acme:href="javascript:window.alert( 'Action performed' );">Do something</a>
    </p>
    <form name="acmeForm" action="#" acme:action="real-action.html">
      <p>Name: <input type="text" name="name" value="" disabled="disabled" acme:disabled=""></p>
      <p><input type="submit" name="save" value="Save" disabled="disabled" acme:disabled=""></p>
    </form>
  </body>
</html>

[[6]] będę odważny i wrzucę czapkę do ringu na tej (starożytnej jak to jest), zobaczyć, ile downvotów mogę zebrać.

Oto moja próba, która zdaje się działać wszędzie, gdzie ją przetestowałem (Chrome20, IE8 i FF14): {]}

(function() {
    if (top == self) {
        return;
    }

    setInterval(function() {
        top.location.replace(document.location);
        setTimeout(function() {
            var xhr = new XMLHttpRequest();
            xhr.open(
                'get',
                'http://mysite.tld/page-that-takes-a-while-to-load',
                false
            );
            xhr.send(null);
        }, 0);
    }, 1);
}());

Umieściłem ten kod w <head> i wywołałem go od końca <body>, aby upewnić się, że moja strona jest renderowana, zanim zacznie się kłócić ze złośliwym kodem, Nie wiem, czy jest to najlepsze podejście, YMMV.

Jak to praca?

...Słyszałem, że pytasz-cóż, szczera odpowiedź jest taka, że ja naprawdę Nie wiem. Wymagało to dużo fudgingu, aby działało wszędzie, gdzie testowałem, a dokładny efekt, jaki ma, różni się nieznacznie w zależności od tego, gdzie go uruchamiasz.

Oto myśl za tym:

• ustaw funkcję, która będzie działać w najniższym możliwym interwale. Podstawową koncepcją stojącą za którymkolwiek z realistycznych rozwiązań, które widziałem, jest wypełnienie harmonogramu większą liczbą zdarzeń niż frame buster-buster ma.
• za każdym razem, gdy funkcja zostanie wywołana, spróbuj zmienić położenie górnej ramki. Dość oczywisty wymóg.
• zaplanuj również natychmiastowe uruchomienie funkcji, która zajmie dużo czasu (blokując tym samym frame buster-buster przed ingerencją w zmianę lokalizacji). Wybrałem synchroniczny XMLHttpRequest, ponieważ jest to jedyny mechanizm, który nie wymaga (a przynajmniej nie wymaga) interakcji użytkownika i nie gryzie użytkownika Czas procesora.

Dla mojego http://mysite.tld/page-that-takes-a-while-to-load (cel XHR) użyłem skryptu PHP, który wygląda tak:

<?php sleep(5);

Co się dzieje?

• Chrome i Firefox czekają 5 sekund na zakończenie XHR, a następnie pomyślnie przekierowują do adresu URL strony w ramce.
• IE przekierowuje praktycznie od razu

Nie można uniknąć czasu oczekiwania w Chrome i Firefox?

Jeśli każdy przechodzący Javascript ninja chce wyjaśnić trochę lepiej, co się dzieje, dlaczego jest to (prawdopodobnie) złe, niewiarygodne, najgorszy kod, jaki kiedykolwiek widzieli itp.chętnie posłucham.

Od 2015 roku powinieneś używać CSP2 frame-ancestors dyrektywa w tej sprawie. Jest to realizowane poprzez nagłówek odpowiedzi HTTP.

Np.

Content-Security-Policy: frame-ancestors 'none'

Oczywiście niewiele przeglądarek obsługuje jeszcze CSP2, więc mądrze jest włączyć stare X-Frame-Options nagłówek:

X-Frame-Options: DENY

Radzę i tak dołączyć oba, w przeciwnym razie twoja strona będzie nadal podatna na ataki Clickjacking w starych przeglądarkach i oczywiście dostaniesz niepożądane kadrowanie nawet bez złośliwego intencja. Większość przeglądarek aktualizuje się automatycznie w dzisiejszych czasach, jednak nadal masz tendencję do uzyskania użytkowników korporacyjnych utknęło na starych wersjach programu Internet Explorer ze względu na kompatybilność starszych aplikacji.

Cóż, można zmodyfikować wartość licznika, ale to oczywiście kruche rozwiązanie. Możesz załadować treść za pośrednictwem AJAX po ustaleniu, że witryna nie jest w ramce - również nie jest to świetne rozwiązanie ,ale mam nadzieję, że unika odpalenia przed wydarzeniem unload(zakładam).

Edit: kolejny pomysł. Jeśli zauważysz, że jesteś w ramce, Poproś użytkownika o wyłączenie obsługi javascript, zanim klikniesz link, który przeniesie Cię do żądanego adresu URL (przekazując querystring, który pozwala twojej stronie wiedzieć, aby powiedzieć użytkownikowi, że może ponownie włączyć javascript, gdy już tam są).

Edit 2: Go nuclear-jeśli zauważysz, że jesteś w ramce, po prostu usuń treść dokumentu i wydrukuj paskudną wiadomość.

Edit 3: Czy możesz wyliczyć górny dokument i ustawić wszystkie funkcje na null (nawet te anonimowe)?

Jeśli dodasz alert zaraz po kodzie Bustera, alert zatrzyma wątek javascript i pozwoli załadować stronę. To właśnie robi StackOverflow i wypiera z moich ramek iFrame, nawet gdy używam ramki Buster. Działał również z moją prostą stroną testową. Zostało to Przetestowane tylko w Firefoksie 3.5 i IE7 w systemie windows.

Kod:

<script type="text/javascript">
if (top != self){
  top.location.replace(self.location.href);
  alert("for security reasons bla bla bla");
}
</script>

Myślę, że byłeś prawie na miejscu. Próbowałeś:

window.parent.onbeforeunload = null;
window.parent.location.replace(self.location.href);

Lub alternatywnie:

window.parent.prevent_bust = 0;

Uwaga: nie testowałem tego.

A co z wielokrotnym wydzwanianiem do Bustera? To stworzy warunki rasowe, ale można mieć nadzieję, że buster wyjdzie na szczyt: {]}

(function() {
    if(top !== self) {
        top.location.href = self.location.href;
        setTimeout(arguments.callee, 0);
    }
})();

Jeśli spojrzysz na wartości zwracane przez setInterval() są to zwykle pojedyncze cyfry, więc możesz Zwykle wyłączyć wszystkie takie przerwania za pomocą jednej linii kodu:

for (var j = 0 ; j < 256 ; ++j) clearInterval(j)

Właśnie znalazłem sposób na rozwalenie frame buster Buster javascript. Korzystając z getElementsByName w mojej funkcji javascript, ustawiłem pętlę między frame buster a rzeczywistym skryptem frame buster buster. sprawdź ten post. http://www.phcityonweb.com/frame-buster-buster-buster-2426

SetInterval i setTimeout tworzą automatycznie zwiększający się interwał. Przy każdym wywołaniu setTimeout lub setInterval, liczba ta wzrasta o jeden, więc jeśli wywołasz setTimeout, otrzymasz aktualną, najwyższą wartość.

   var currentInterval = 10000;
   currentInterval += setTimeout( gotoHREF, 100 );
   for( var i = 0; i < currentInterval; i++ ) top.clearInterval( i );
   // Include setTimeout to avoid recursive functions.
   for( i = 0; i < currentInterval; i++ )     top.clearTimeout( i );

   function gotoHREF(){
           top.location.href = "http://your.url.here";
   }

Ponieważ jest prawie niespotykane, aby działało 10000 jednoczesnych interwałów i settimeoutów, a ponieważ setTimeout zwraca "last interval or timeout created + 1", a od top.clearInterval jest nadal dostępny, to pokona black-hat ataki na strony internetowe, które zostały opisane powyżej.

Użyj htaccess, aby uniknąć wysokiej jakości frameset, iframe i wszelkich treści, takich jak obrazy.

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^http://www\.yoursite\.com/ [NC]
RewriteCond %{HTTP_REFERER} !^$
RewriteRule ^(.*)$ /copyrights.html [L]

Wyświetli stronę praw autorskich zamiast oczekiwanej.