436 votes

Jeff Atwood avatar

Frame Buster Buster ... code buster nécessaire

Demandé el 6 de Juin, 2009
Quand la question a-t-elle été
62514 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Disons que vous ne voulez pas que d'autres sites "encadrent" votre site dans une page d'accueil. <iframe> :

<iframe src="http://example.org"></iframe>

Vous insérez donc du JavaScript anti-cadrage dans toutes vos pages :

/* break us out of any containing iframes */
if (top != self) { top.location.replace(self.location.href); }

Excellent ! Désormais, vous sortez automatiquement des iframes qu'ils contiennent. Sauf pour un petit problème.

Il s'avère que.., votre code anti-cadres peut être cassé , comme indiqué ici :

<script type="text/javascript">
    var prevent_bust = 0  
    window.onbeforeunload = function() { prevent_bust++ }  
    setInterval(function() {  
      if (prevent_bust > 0) {  
        prevent_bust -= 2  
        window.top.location = 'http://example.org/page-which-responds-with-204'  
      }  
    }, 1)  
</script>

Ce code effectue les opérations suivantes :

  • incrémente un compteur à chaque fois que le navigateur tente de naviguer hors de la page en cours, par l'intermédiaire de la fonction window.onbeforeunload gestionnaire d'événements
  • met en place une minuterie qui se déclenche toutes les millisecondes via setInterval() et s'il voit le compteur incrémenté, il change l'emplacement actuel pour un serveur contrôlé par l'attaquant
  • ce serveur envoie une page avec le code d'état HTTP 204 qui ne permet pas au navigateur de naviguer n'importe où

Ma question est la suivante - et il s'agit plus d'un puzzle JavaScript que d'une véritable problème -- Comment vaincre le destructeur de cadres ?

J'ai eu quelques idées, mais rien n'a fonctionné lors de mes tests :

  • en essayant d'effacer le onbeforeunload événement via onbeforeunload = null n'a pas eu d'effet
  • l'ajout d'un alert() a arrêté le processus, ce qui a permis à l'utilisateur de savoir ce qui se passait, mais n'a pas interféré avec le code de quelque manière que ce soit ; en cliquant sur OK, le processus se poursuit normalement.
  • Je ne vois aucun moyen d'effacer la setInterval() minuterie

Je ne suis pas vraiment un programmeur JavaScript, alors voici le défi que je vous lance : hey buster, peux-tu casser le cadre buster ?

Demandé el 6 de Juin, 2009 par Jeff Atwood

0 votes

Avatar de Steve Reed

Je n'ai pas les moyens de tester cela pour le moment, mais il semble que la seule façon de bloquer le minuteur très rapide de la page d'accueil soit de bloquer activement l'unique thread javascript du navigateur avec une boucle infinie. Ce que je ne sais pas, c'est si le navigateur sera capable de recharger la page du haut pendant que cela se passe. top.location.replace(self.location.href) ; while(true) { }

Commenté el 6 de Juin, 2009 par Steve Reed

16 votes

Avatar de Jeff Atwood

Matt, le code "frame-buster-buster" posté ci-dessus définitivement œuvre. Un euh ami m'en a parlé Ou quelque chose comme ça :)

Commenté el 6 de Juin, 2009 par Jeff Atwood

0 votes

Avatar de Daniel LeCheminant

... comme utiliser <body onbeforeunload="prevent_bust++"> au lieu de window.onbeforeunload ou quelque chose comme ça ;]

Commenté el 6 de Juin, 2009 par Daniel LeCheminant
Afficher 21 autres commentaires

Réponses

Trop de publicités?

210voto

EricLaw avatar
EricLaw Points 28850

Pour information, la plupart des navigateurs actuels soutien les X-Frame-Options : deny qui fonctionne même lorsque la directive script est désactivée.

IE8 :
http://blogs.msdn.com/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx

Firefox (3.6.9)
https://bugzilla.mozilla.org/show_bug.cgi?id=475530
https://developer.mozilla.org/en/The_X-FRAME-OPTIONS_response_header

Chrome/Webkit
http://blog.chromium.org/2010/01/security-in-depth-new-security-features.html
http://trac.webkit.org/changeset/42333

Répondu el 19 de Mars, 2010 par EricLaw (28850 Points )

6 votes

Avatar de Jeff Atwood

Excellent, la prise en charge dans le navigateur .exe est sans aucun doute la meilleure façon de procéder. Quand vous dites "la plupart des navigateurs", lesquels précisément ? Je n'arrive pas à trouver de bonnes sources pour autre chose qu'IE8.

Commenté el 29 de Mars, 2010 par Jeff Atwood

2 votes

Avatar de EricLaw

Voici une page de test : enhanceie.com/test/clickjack . Chrome 4.1.249.1042 supporte. Opera 10.50 est compatible. Firefox 3.6.2 n'est pas encore compatible. Safari 4.0.3 est compatible.

Commenté el 30 de Mars, 2010 par EricLaw

1 votes

Avatar de ssokolow

Firefox 3.6.9 le supportera nativement ( hackademix.net/2010/08/31/… ) et toute installation de Firefox avec NoScript l'a depuis le début de l'année 2009 ( hackademix.net/2009/01/29/x-frame-options-in-firefox )

Commenté el 31 de Août, 2010 par ssokolow
Afficher 7 autres commentaires

149voto

Hugoware avatar
Hugoware Points 13645

Je ne sais pas si c'est viable ou non - mais si vous ne pouvez pas briser le cadre, pourquoi ne pas simplement afficher un avertissement. Par exemple, si votre page n'est pas la "première page", créez une méthode setInterval qui tente de briser le cadre. Si après 3 ou 4 tentatives, votre page n'est toujours pas la première page, créez un élément div qui couvre toute la page (boîte modale) avec un message et un lien comme...

Vous visualisez cette page dans une fenêtre non autorisée - (Blah blah... problème de sécurité potentiel)

cliquez sur ce lien pour résoudre ce problème

Ce n'est pas la meilleure solution, mais je ne vois pas comment ils pourraient script s'en sortir.

Répondu el 18 de Juin, 2009 par Hugoware (13645 Points )

2 votes

Avatar de pope

J'ai essayé et cela fonctionne. Un autre aspect que j'apprécie dans cette solution est qu'elle permet à l'utilisateur de savoir sur quel type de site il se trouvait avant d'accéder à votre contenu. Exemple de code : if (parent.frames.length > 0) { top.location.replace(document.location) ; setTimeout(function() { if (parent.frames.length > 0) { document.location = " google.com " ; } }, 10) ; }

Commenté el 21 de Juin, 2009 par pope

0 votes

Avatar de wheresrhys

C'est non seulement un bon moyen d'éviter les abus, mais c'est aussi une bonne chose pour les sites qui voudraient s'insérer dans votre site pour y jeter un coup d'œil, mais pas pour en permettre l'utilisation. Idéalement, je pense qu'il faudrait utiliser une capture d'écran de la page d'accueil du site, en expliquant pourquoi il ne peut pas être utilisé dans l'iframe.

Commenté el 11 de Février, 2010 par wheresrhys

34 votes

Avatar de shamittomar

Voici comment Facebook procède.

Commenté el 24 de Janvier, 2011 par shamittomar
Afficher 2 autres commentaires

38voto

dungeon Hunter avatar
dungeon Hunter Points 2958

Nous avons utilisé l'approche suivante dans l'un de nos sites web de http://seclab.stanford.edu/websec/framebusting/framebust.pdf

<style>
 body { 
 display : none   
}
</style>
<script>
if(self == top) {
document.getElementsByTagName("body")[0].style.display = 'block';
}
else{
top.location = self.location;
}
</script>
Répondu el 4 de Décembre, 2012 par dungeon Hunter (2958 Points )

4 votes

Avatar de Jesse Weigert

Bingo ! Je ne sais pas pourquoi cette réponse n'est pas plus votée car c'est la meilleure (après la réponse X-Frame-Options, mais c'est mieux de combiner les deux).

Commenté el 29 de Décembre, 2012 par Jesse Weigert

2 votes

Avatar de Utilisateur non enregistré

Cette réponse ou la mienne devrait être sélectionnée :)

Commenté el 2 de Septembre, 2013 par Utilisateur non enregistré

0 votes

Avatar de Max West

J'aime votre idée d'utiliser à la fois cette réponse et la réponse X-Frame-Options:deny.

Commenté el 5 de Juin, 2014 par Max West
Afficher 3 autres commentaires

29voto

Jani Hartikainen avatar
Jani Hartikainen Points 23183

J'ai trouvé ceci, et cela semble fonctionner au moins dans Firefox et le navigateur Opera.

if(top != self) {
 top.onbeforeunload = function() {};
 top.location.replace(self.location.href);
}
Répondu el 6 de Juin, 2009 par Jani Hartikainen (23183 Points )

2 votes

Avatar de Jeff Atwood

Les solutions de Jani et de Jeff (une fois modifiées) sont toutes deux correctes et fonctionnent de manière équivalente ; Jani est accepté parce que sa solution fonctionne correctement sans aucune modification.

Commenté el 6 de Juin, 2009 par Jeff Atwood

29 votes

Avatar de James

Cela ne fonctionnera que si les deux fenêtres appartiennent au même domaine, ce qui est rare lorsque l'on veut s'échapper d'un cadre.

Commenté el 6 de Juin, 2009 par James

0 votes

Avatar de Christoph

S'il s'agit de cadres imbriqués, vous devrez parcourir la chaîne de cadres et supprimer tous les onbeforeunload et pas seulement celui qui se trouve en haut de l'échelle !

Commenté el 6 de Juin, 2009 par Christoph
Afficher 4 autres commentaires

19voto

Josh Stodola avatar
Josh Stodola Points 42410

Après y avoir réfléchi un moment, je pense que cela leur montrera qui est le patron...

if(top != self) {
  window.open(location.href, '_top');
}

Utilisation _top en tant que paramètre cible pour window.open() le lancera dans la même fenêtre.

Répondu el 18 de Juin, 2009 par Josh Stodola (42410 Points )

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X