CFS(跨框架脚本)攻击的现象和处理方式

近期在解决CFS的问题，现象如下图：

打开html文件时候主页会被嵌套，网上查了典型的处理的方式是使用X-Frame-Options的解决方案。

正常使用DENY和SAMEORIGRIN就可以解决了，但我们产品有点特殊存在多个域名的情况。

简单使用这两个变量不行。所以采用了ALLOW-From的方式。这边强调一下ALLOW-FROM有些浏览器是不支持。但可以起到一定的过滤作用。

注：这边多域名可以采用读取配置的方法，放到config文件里面，如果存在数据库里面可能有一定的性能影响。

那么加了这个参数后，如何验证这个安全问题呢?

1. CFS脚本，网上有很多，其实只要有iframe这项就可以了。

上面的脚本中只有最后一行正式起重要。

 

2. 上面红框中SRC具体的值就是IFRAM中的值，可以参考下面的图片：

 

3.将你自己获得自己页面iframe中src的值替换第一步里面的src值，然后运行后：

4.出现上面的Error错误，说明修复成功，如果没有上面的现象出现，说明修复有问题需要进一步确认。