百度空间 | 百度首页 
 
查看文章
  
iframe的防插与强插(二)
2009-02-23 14:18

iframe的防插与强插(一)中介绍了“市面上”能见到的两种防御被第三方网站iframe的方法,以及相应的变态突破方法。

貌似把“受害人”逼上绝路了,我们再来看看这两个方法:

它们都能够判断出自己已经被XX了,可是它们是怎么做的呢?

方法一说:先生,请您出去。

方法二说:同志,请您出去!

然而这先生也说了句:“我就不出去!

因为“受害人”和这位先生又不是一家子,似乎通过命令对方还无可奈何 —— 同源策略!

但事实上,“请您出去”这种方式显然是针对君子不对小人的,所以Monyer教你一种好方法——“乱棍打出去!”(子http://test2/test2.html

<script>
window.onload = function(){
if(top!=self){
   var f = document.createElement("form");
   f.action=location;
   f.target="_parent";
   document.body.appendChild(f);
   f.submit();
}
};
</script>

目前我个人还没有找到突破的方法,所以至少比以上两种方法更暴力一些!

Monyer!


类别:客户端脚本 | | 添加到搜藏 | 分享到i贴吧 | 浏览() | 评论 (10)
 
最近读者:
 
网友评论:
1
2009-02-23 14:48 | 回复
你现在的头像挺可爱
 
2
2009-02-23 15:32 | 回复
好的方法重写了window.onload,但是这是你想出来的吗?
 
3
2009-02-23 15:46 | 回复
回复7xk3:是我想出来的,不过应该不算重写,应该算是绑定或者是监听吧??
 
4
2009-02-23 17:00 | 回复
这都无所谓,这都是个人在编程上的认识,在认识之后会在大脑里转变成通俗的语言。
你不错,一般我都用vbs,很少用js.
 
5
2009-02-23 17:35 | 回复
一个字看多了,也学会了,弓虽
 
6
2009-02-23 17:48 | 回复
补充下,在实质上是没有重写,因为封装到dll里了,在编程层面上是重写了。
我记得有个蠕虫就是重写open函数。
 
7
2009-02-23 18:46 | 回复
对7xk3的崇拜如滔滔江水
 
8
2009-02-24 01:27 | 回复
然后就开始互相检测了。。。
JS hook扫描。。。
目前还没修改到native code。
所以可以检测你是否HOOK了。function checkHook(obj) {
    if (obj.toString().indexOf("[native code]") > 0) {
        return false;
    } else {
        return true;
    }
}
alert(checkHook(eval));
然后创建个子框架来还原。
最根本的办法是把DOM整个都HOOK掉。
然后XXOOOOXX,不知道会不会能从JS层面修改到native code。
 
18
2009-03-02 17:12 | 回复
砸场子。。。
http://www.inbreak.net/?action=show&id=147
iframe的防插破解
 
19
2009-04-01 00:50 | 回复
想请问这网页的if( top!= self)

http://www.ipaint.com.tw/index.asp

该怎么破解??
我想要用iframe嵌入这网页却不行
麻烦高手!
 
发表评论:
姓 名:
网址或邮箱: (选填)
内 容:
验证码: 请点击后输入四位验证码,字母不区分大小写
      

     

©2010 Baidu