iframe页面嵌套,浏览器提示XXS跨脚本攻击被拦截

其他 2018-07-28 12:54:17 阅读次数: 0
Chrome下出现:
  The XSS Auditor refused to execute a script in 'http://192.168.16.53/ads/index/viewPostion' because its source code was found within the request. The auditor was enabled as the server sent neither an 'X-XSS-Protection' nor 'Content-Security-Policy' header.

情景:当你在一个页面里输出了一段 html代码 而该html代码里含有一个http的请求;
 例如:
我要把以下这段代码直接在viewPostion 页面中输出   
<!--ad100广告位 营销广告路由-->
<iframe style="overflow:hidden; 
               width:320px;
               height:100px;
               position:fixed;
               left:0px;
               top:0px;
               border:none;
               margin:0px;
               padding:0px;"
</iframe>
就会出现上述的XXS跨脚本攻击 ;

不论你使用js先获取到值,还是使用json在解析以后,在用document.wirte写到页面上,依旧会出现XXS的错误。

如何跳过XXS呢?

其实上边的红色字已经告诉你了,就是   X-XSS-Protection = 0

下面列出的为有用和安全相关的 http 响应头

 X-XSS-Protection xxs 用于构建到最新的浏览器中ie8以上chrome(不确定版本) 默认开启

Strict-Transport-Security 安全的执行http通过ssl/ tls 链接到服务器

X-Frame-Options  , Frame-Options    提供Clickjacking 保护

X-Content-Type-Options

Content-Security-Policy、X-Content-Security-Policy X-WebKit-CSP

Content-Security-Policy-Report-Only   

猜你喜欢

转载自blog.csdn.net/qilin001cs/article/details/79108341
今日推荐
Apache Doris 2.0.10 版本正式发布!
开源日报 | 大模型开战;大模型独角兽被曝卖身;周鸿祎建议谷歌开源所有产品;最大开源AI社区提供1000万美元共享GPU
开源日报 | Chrome内置Gemini的意义不在于Gemini;中国AI追随之路的五大误区;ECharts创始人“下海”养鱼;谷歌I/O开发者大会什么都有,只是没有惊喜
微软回应中国区AI团队“打包赴美”传闻
基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个!
美国拟限制 AI 大模型出口中国和俄罗斯
苹果将与 OpenAI 达成协议,将 ChatGPT 应用于 iPhone
周排行
阿里云短信服务平台注册
Windows下的字符串处理(1)
sqoop: mysql导入数据到hdfs, hive, hbase
commons.lang中常用的工具类
离线安装PostgreSQL11.6
使用PyTorch简单实现卷积神经网络模型
一文彻底搞定谱聚类
一道面试题引发的血案
One Chat for Mac(聊天工具)
TCP/IP的底层队列是如何实现的?
每日归档
更多
2024-05-17(34)
2024-05-16(6)
2024-05-15(24)
2024-05-14(0)
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)
2024-05-10(38)
2024-05-09(35)
2024-05-08(42)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022