跨站点脚本通过框架进行网络钓鱼

Question

我们如何通过php保护网站免受“跨站脚本钓鱼”的影响。

谢谢

Answer 1

跨站点脚本大多通过url执行。

像http://www.example.com/index.php?q="><script>alert('SSS')</script>一样

如果您index.php页面包含

echo $_GET['q'];

您将收到一条警告。这样用户就可以抓取您cookie，并将恶意代码插入到您的web中。因此，请确保将所有GET和POST变量与验证一起使用。

Answer 2

以下脚本可以提供帮助

<script type="text/javascript">
    if(top.frames.length > 0) {
        top.location.href = self.location;
    }
</script> 

如果你在每个页面中都包含了这个，那么你基本上就是在检查首页上是否有多个框架。显然，只有当您的站点本身不使用iframe(例如，用于提供广告)时，它才有效。

然而，针对网络钓鱼诈骗的最好防御方法是：

1. Never send users ever send users ever to your site，要求他们根据上述策略#1登录您的用户(即告诉他们，“我们永远不会发送电子邮件要求您登录本站点，如果您的帐户有任何问题，请拨打xxx与我们联系”)。
2. 使您的用户可以轻松地向您报告网络钓鱼诈骗。在你的主页上有一个显著的链接，并与违规网站的互联网服务提供商合作，尽快关闭这些网站。