none
防止 被 iframe 崁入頁面問題 ._.a RRS feed

  • 問題

  • asp.net

    網路上找了一下加入以下 code 可以

    防止頁面被人家綁架

    <script>
        if (top.location !== self.location) {
            top.location.href = "https://www.google.com";  // 很不負責的轉給Google... XD
        }
    </script>

    但是總不能每個頁面都加入這段Code,於是想說放到 MasterPage 上面好了~~

    但是我把這段Code 搬到 MasterPage 卻無此功效了 ? ( JS不能下中斷點DeBug ˊ~ˋ 不知道位啥沒進去判斷)

    請問這個是什麼原因 ?

    難道只好在個每頁面都自行載入上面那段JS 嗎?



    • 已編輯 天氣 2015年1月13日 上午 06:51
    2015年1月13日 上午 05:35

解答

所有回覆

  • 問題的源頭應該是為什麼你的頁面可以被人家注入JavaScript 吧


    微軟免費線上課程

    HTML5 & JavaScript程式開發實戰(MyBook)

    開發ASP.NET您要瞭解的基楚

    http://www.dotblogs.com.tw/ian (MyBlog)

    Hi 18~~

    我的頁面不能被注入 js啊 ???

    ※ Textbox,幾乎都有限制長度,跟一些符號 (符號那些不限制根本也沒差,系統不會影響測試過了...)

    話說怕被人家亂打什麼,個人自己想到最簡單+智障的方法就是『限制長度』基本上可以擋掉一堆 :P

    最重要的是,只有不到10碼的長度...駭客能打什麼 = =?

    光<script就 7 碼了,剩下3碼請自由發揮~

    幫我測試我的網站有什麼問題的人,只跟我說

    我登入頁可以用iframe 綁架而已 ClickJacking

    這樣會有讓人偽造去釣魚的可能. 對我好像也沒什麼影響 ? XD

    真的要偽造還有一招誰都防不了,直接拍圖,在網頁上面放那張圖

    (笨一點的人,也是會誤以為那張圖檔,是真的網頁....)

    ※ 這招誰都擋不住了....=.=

    ===========================

    回到我的問題>~< 請問這個問題怎麼解決 ?

    只能每頁都在入那段JS嗎?

    為什麼不能直接由 MasterPage在那載入處理呢 ?

    我該從哪個方向查呢?






    • 已編輯 天氣 2015年1月13日 上午 07:25
    2015年1月13日 上午 06:42
  • 你應該用一些函式庫 (例如 AntiXSS) 去掃輸入的資料有沒有問題才對吧。

    強力監督SQL Injection問題!!

      • 小朱的技術隨手寫:http://www.dotblogs.com.tw/regionbbs/
      • 雲端學堂Facebook: http://www.facebook.com/studyazure

    2015年1月14日 上午 04:33
    版主
  • 你應該用一些函式庫 (例如 AntiXSS) 去掃輸入的資料有沒有問題才對吧。

    強力監督SQL Injection問題!!

      • 小朱的技術隨手寫:http://www.dotblogs.com.tw/regionbbs/
      • 雲端學堂Facebook: http://www.facebook.com/studyazure

    Hi 朱朱 前輩

    因為我寫入DB是用

    sqlInsert.Parameters.Add("myID", DbType.String, 7).Value = tmpInsert.myID;

    1. 這種方式不是已經會防止  SQL Injection 問題了嗎 ._.?

    2.也限制長度了

    3.也限制型別了

    4.我也故意測試過,讓系統寫入 @#$%^&*"',

    也故意讓會讀取到這些攔位的功能頁去試試看會不會掛點,測試後不會.

    .

    .

    所以我實在不太瞭解阻擋一些符號...等意義是什麼 ?

    我這昨天玩了一下

    微軟 & Google 的註冊網站

    微軟:【註冊時姓名】會檔@#$%^&,但是 ˇ ˋ ˊ  (2聲、3聲、4聲沒檔 @@?)

    Google:【註冊時姓名】我測試過了

    它什麼符號都不不限制,雙引號、單引號也不限制 !!

    為何Google這麼大的網站,不擔心了@@a

    .

    ※我時常會想,開發時有些要做苦工的地方,如何減少時間在這上面、為什麼要這麼做 ? 一定要這樣做嗎 ?

    如果後臺已經有夠安全的機制存在了

    不就可以省去在畫面上拉一個  RegularExpressionValidator 寫一些檢核了呢 ?

    這個問題網路上好像,查不到類似的說明文件 ._.a





    • 已編輯 天氣 2015年1月14日 上午 10:17
    2015年1月14日 上午 10:03
  • 問題不在 SQL Injection,在 XSS,你 search 一下 XSS 的內容看看吧。



    強力監督SQL Injection問題!!

      • 小朱的技術隨手寫:http://www.dotblogs.com.tw/regionbbs/
      • 雲端學堂Facebook: http://www.facebook.com/studyazure

    2015年1月14日 下午 01:40
    版主
  • 您好,
    您可以在IIS上設定 X-Frame-Options 標頭的值為 SAMEORIGIN,
    詳細請參考: Mitigating framesniffing with the X-Frame-Options header

    希望對您有幫助。


    亂馬客blog: http://www.dotblogs.com.tw/rainmaker/

    • 已標示為解答 天氣 2015年1月15日 上午 06:41
    2015年1月15日 上午 02:32