[asp.net]CheckMark弱點掃描結果發現Client Cross Frame Scripting Attack

  • 4100
  • 0

[asp.net]CheckMark弱點掃描結果發現Client Cross Frame Scripting Attack

這個attack基本上就是駭客會在自己的網站包一些子iframe,然後它的iframe載入的網頁卻是你的網站網頁,不夠小心誤入駭客網站的使用者,在key入帳號密碼的時候,或是登入系統之後的任何操作動作的時候,駭客就可以利用一些javascript的event listener的做法,可以監控子iframe的所有動作,即可監控所有你輸入的資料

解法:
在你的網頁裡的javascript裡面加入下面這一行就可以了
如果你是.net MVC,通常是加入在_Layout.cshtml,如果不想要直接加入在.cshtml裡面,可以查一下專案資料夾App_Start\BundleConfig.cs的設定,看看專案是怎麼打包.js檔的,然後再把下列內容copy一份到被打包的.js檔案裡面即可囉!

<script type="text/javascript" language="javascript">
	////預防掃描出的中風險:Client Cross Frame Scripting Attack      
	if (top != self) { top.location = encodeURI(self.location); } 
	
</script>




參考資料:
Cross Frame Scripting - owasp
https://www.owasp.org/index.php/Cross_Frame_Scripting
Client Cross Frame Scripting Attack
https://dotblogs.com.tw/rainmaker/2017/04/12/102243