我有一個網站在頁面中使用IFrame,該頁面根據服務器端邏輯加載其他頁面。所以,如果我做了查看源代碼,我會看到這樣的事情:攻擊者是否可以更改iframe中的src屬性?
<iframe src="DeterminedOnServerSide.aspx" id="myFrame">
</iframe>
我的問題是 - 有什麼辦法,攻擊者可以改變src屬性指向其他用戶到惡意網站考慮到src是在服務器端確定的?
你「包括」頁面使用IFRAME可以導航到一個新的頁面,更改源。
網站可以使用開發人員工具如Firebug和IE開發者工具
任何sucsessful中間人攻擊可以改變你的所有html源代碼,包括src屬性更改的iframe src值的任何用戶。如果攻擊者控制客戶和服務器之間的代理或網絡,他們可以更改任何html,包括src屬性。
任何sucsessful攻入你的服務器可以改變你的所有源代碼並更改屬性。你在想
什麼黑客?您應該只對您信任的用戶/站點使用iframe,因爲這是跨站點腳本攻擊的常見方式。
不,除非他們已經入侵了您的服務器,並可以訪問和修改的源文件。而如果是這種情況,那麼在iframe中更改'src'屬性是您最擔心的問題。
YES或NO。您尚未指定如何確定「DeterminedOnServerSide.aspx」。如果你的代碼由DeterminedOnServerSide = Server.Request["frame"]組成,那麼它顯然可能被「黑客入侵」。如果您使用確保只選擇有效網址的方法,那麼它不會受到攻擊。
+1這是迄今爲止唯一正確的答案,即時通訊。你需要知道什麼代碼是確定要加載到iframe中的頁面,然後才能肯定地說「是」或肯定是「否」。 –
是的。 XSS攻擊可以改變iFrame的src。
檢查出來:http://research.zscaler.com/2009/12/xss-embedded-iframes.html
...但只有當頁面容易受到XSS – Cheekysoft
「有什麼辦法,攻擊者可以更改src屬性」 - 答案是肯定的。有一種方法。這不是完全正確的,因爲它可以被保護,但有一種方法。 –
改變你的iframe的(在你的網站或任何東西)src屬性的唯一途徑是:
?如果它是從查詢字符串中讀取的,那麼它肯定會被篡改。 –