客户端跨框架脚本攻击解决方案

Question

我们已经开发了一个新的应用程序，在移动更改之前，我们使用checkmarx对代码进行了静态扫描。在名为Client Cross Frame Scripting的代码中发现了一个中等级别的漏洞。

这是在JSP页面的第一行分离的：

<!DOCTYPE html>

你能帮我理解一下这种攻击吗?应该怎么做才能消除这种攻击？

Answer 1

客户端跨站点脚本攻击查询确定页面是否保护自身不被嵌入到IFrame中。它会搜索以下条件：

 if (top != self)
 if (top.location != location)
 if (top.frames.length != 0)

诸若此类。

我认为这个特定的文件没有这样的条件，所以它很可能不会保护自己，这就是查询找到并标记它的原因。因为我们正在寻找这里缺少的一行，所以结果只显示了文件，而不能显示问题所在。

希望能有所帮助，

来自Checkmarx的Adar。

Answer 2

要更深入地了解这个问题，并实际修复跨框架脚本问题，请查看https://css-tricks.com/snippets/javascript/break-out-of-iframe/

基本上就是把它放到你的父布局文件中( C# MVC中的_Layout.cshtml)

        (function (window) { // Prevent Cross-Frame Scripting attacks
            if (window.location !== window.top.location)
                window.top.location = window.location;
        })(this);

Answer 3

只需在您的HTML文件中添加以下代码。

<style id='antiClickjack'>
    body{display:none !important;}
</style>

<script type='text/javascript'>
    if (self === top) {
    var antiClickjack = document.getElementById('antiClickjack');
    antiClickjack.parentNode.removeChild(antiClickjack);
    } else {
    top.location = self.location;
    }
</script>