网页防止跨框架攻击

转载自:http://www.haorooms.com/post/liulanq_think_ie

防止网页垮框架

很简单,在你的网页中添加如下代码就可以了

<style> html{ visibility:hidden; }</style>
<script>
if( self == top){
        document.documentElement.style.visibility=‘visible‘;
}else{
        top.location = self.location;
}
</script>

上面的这个办法可以帮助我们解决网站扫描出来的垮框架漏洞。

谈谈IE和谷歌

在做web前端之前,我对浏览器没有什么概念,不知道什么内核了等等。在做web前端开发之后,我一步一步开始学习,渐渐的喜欢上了谷歌浏览器,因为谷歌浏览器强大的调试功能,可以让我的开发更加便捷,而且谷歌对css样式更加友好,即使你书写有些小的不规范,谷歌浏览器也能容忍你。在后来,随着css3和html5的发展和流行,IE渐渐失去了主导的地位,自IE9和IE10以后,渐渐的支持CSS3和html5但是对css3的一些特殊的属性,整个IE就不支持(例如css3弹性盒子等),所以,我一度对IE比较憎恨。

但是,你想想,为什么一些老的程序员还在用IE调试,为什么一些财务的系统统统用IE,一些国家的(像劳动保障部网站,证书查询的时候,必须用IE,谷歌会报错),铁道部网站近年来才支持谷歌浏览器,刚刚出来的时候,买票都不能用谷歌浏览器!

所以,看来,IE对安全性方面还是有一定的优势的,反观一些IE的老的不能再老的属性,只有IE浏览器才能支持,我之前写个一篇js导出excel的文章,也只有在IE浏览器下面才可以,文章地址:http://www.haorooms.com/post/js_excel ,说到这里,你应该对IE浏览器没有那么憎恨了吧。

其实,每个内核的浏览器,都有其存的的价值和优势。谷歌浏览器对一些老的属性和功能都是不支持的,下面我列举一些IE浏览器下面可以执行,但是谷歌浏览器不可以的例子,关于这样的例子有很多很多,不也不一一列举,仅仅列举几个。

一、先从CSS和html开始说起吧

style="ime-mode:disabled "

语法: ime-mode : auto | active | inactive | disabled

ime-mode这个css属性是设置或检索是否允许用户激活输入中文,韩文,日文等的输入法(ime)状态。假如你设置了disabled,那么你就不能切换中文输入法,只能用键盘上面的字母和数字。

二、页面过度效果。

在IE5.5及以上版本的浏览器中,增加了页面过渡效果,经过检查和实验,IE中是可以的,谷歌浏览器是不支持的。

方法:

只需在中添加一个特殊的即可,比如:

<meta http-equiv="Page-Enter" content="revealTrans(Duration=2.0,Transition=12)" />

http-equiv 作用很多,这里的值为 Page-Enter 是指在页面进入的时候发生,其他值还有:

Page-Enter : 进入页面

Page-Exit  : 离开页面

Site-Enter : 进入网站

Site-Exit  : 离开网站

content 当然就是内容咯,这里表示页面过渡的效果设置,这里的两个属性表示分别表示

Duration  : 过渡速度
Transition : 可选项。整数值(Integer)。设置或检索转换所使用的方式

具体数值介绍:

0 : 矩形收缩转换。
       1 : 矩形扩张转换。

       2 : 圆形收缩转换。

       3 : 圆形扩张转换。
       4 : 向上擦除。
       5 : 向下擦除。
       6 : 向右擦除。
       7 : 向左擦除。
       8 : 纵向百叶窗转换。
       9 : 横向百叶窗转换。
       10 : 国际象棋棋盘横向转换。
       11 : 国际象棋棋盘纵向转换。
       12 : 随机杂点干扰转换。
       13 : 左右关门效果转换。
       14 : 左右开门效果转换。
       15 : 上下关门效果转换。
       16 : 上下开门效果转换。
       17 : 从右上角到左下角的锯齿边覆盖效果转换。
       18 : 从右下角到左上角的锯齿边覆盖效果转换。
       19 : 从左上角到右下角的锯齿边覆盖效果转换。
       20 : 从左下角到右上角的锯齿边覆盖效果转换。
       21 : 随机横线条转换。
       22 : 随机竖线条转换。
23 : 随机使用上面可能的值转换。

三、IE中防止网页另存为的方法

<noscript>
<iframe src="*.htm"></iframe>
</noscript>

上面的这些,应该测试,在谷歌浏览器中是不起作用的,在IE中可以很好的展现!

怎么样,这下不会对IE彻底鄙视了吧!(关于onselectstart="return false" 取消选取、防止复制 ,onpaste="return false" 不准粘贴,oncopy="return false;" oncut="return false;" 防止复制等等,这些在谷歌中也可以可以使用的,都支持的,但是你想凭借这些方法,阻止用户照搬照抄,从根本上将,那是不可能的!)

时间: 2024-10-08 06:06:31

网页防止跨框架攻击的相关文章

Cross Frame Script (跨框架脚本) 攻击

一.Cross Frame Script (跨框架脚本) 攻击 什么是Cross Frame Script? 很简单,做个实验就知道了.把下面的这段HTML代码另存为一个html文件,然后用ie浏览器打开. <html> <head> <title>IE Cross Frame Scripting Restriction Bypass Example</title> <script> var keylog=''; document.onkeypr

漫话web渗透 : xss跨站攻击day1

1.1什么是XSS跨站攻击 xss攻击并不是对服务器进行攻击,而是借助网站进行传播,攻击者精心构造的一个URL,欺骗受害者打开从而使恶意脚本在受害者计算机中悄悄运行1.2XSS实例 首先我们看一个简单的xss实例 <html> <head>this is a xss test</head> <body> <script>alert("xss")</script> </body> </html>

DDOS、CC、sql注入,跨站攻击防御方法

web安全常见攻击解读--DDos.cc.sql注入.xss.CSRF 一,DDos https://www.cnblogs.com/sochishun/p/7081739.html#4111858 http://nic.swu.edu.cn/s/nic/thyt/20180604/2555404.html 1.1 DDos介绍 DDoS是英文Distributed Denial of Service的缩写,意即“分布式拒绝服务”.分布式拒绝服务攻击发起后,攻击网络包就会从很多DOS攻击源(俗称

网页中的框架

 Html中的框架,学习完今天这节,基本的Html的理论知识就告一段落了.  什么是Html框架? 将浏览器窗口,划分为不同的区域,每个区域可以包含不同的网页.以实现,多个网页在一个浏览器窗口中现实的效果. 小结:说白了,就是起到一个整合作用,把其他网页的内容直接嵌套过来利用. Html框架语法 <frameset rows="控制行数及行高" cols="控制列数及列宽" framespacing="框架间距" frameborder

c:out标签和el表达式与跨域攻击XSS

很多时候,在JSP中我们喜欢用EL表达式输出信息,但是最近发现这个确实存在个问题:XSS即跨域攻击. 下面看个例子: <c:out value="${student.name}" />  和 ${student.name}都能输出同样的结果. 但是有跨域攻击时student.name = <script>alert("hello world!")</script>,${student.name}将会执行,而c:out则不会. 原因

(转).Net基础体系和跨框架开发普及

在园子里看到了一篇关于.net体系及框架开发的文章,感触颇深,身为一个.net程序员,发现自己在这方面的跟进和理解远远不够.转到自己这里,分享的同时方便日后查看. 原文链接: http://www.cnblogs.com/sunhoy/p/6371178.html 基础概念 .Net 本身是一个通用开发平台,我个人的理解主要分位如下两个层面:1. 语言层面,2. 运行时 首先:在语言层面上 面向 .net 平台的顶层开发语言有很多,常见的如:C#,F#和Visual Basic等,.net框架提

X-Scan扫描端口80,443提示http TRACE 跨站攻击漏洞解决办法

在用X-Scan-v3.3扫描主机端口提示http TRACE 跨站攻击漏洞; 一,修改配置文件httpd.conf 1.1 apache下面修改httpd.conf文件,在文件最后面新建一行加入:TraceEnable off 1.2 service httpd restart #重启apache服务器 二,如果没有修改配置文件权限的时候,我们可以在.htaccess文件中加入如下内容: 2.1 RewriteEngine onRewriteCond %{REQUEST_METHOD} ^(T

层不能跨框架(包括TEXTAREA)显示的解决办法

这个问题尤其在写菜单的时候经常遇到,即:一个页面内的"层"无论z-index设的多么大,只要遇到框架等便被截了:( 其实解决办法很简单,在要跨框架的层里加入<iframe>即可解决: <div style="position:absolute;width:140;height:200;z-index:10"><iframe src="menu.asp" width='100%' height='100%'>&l

javascript跨框架显示div

项目中碰到需要跨框架显示div的问题,百度了一下,搜集了一下群众的智慧,特整理出下面这个例子,先看看效果图: 本例共有4个页面: index.html <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <style> .popDiv{ position:absolute; float:left; wid