预防跨框架脚本攻击

什么是跨框架脚本

Cross Frame Script(跨框架脚本)攻击是利用浏览器允许框架(frame)跨站包含其它页面的漏洞,攻击者在恶意站点包含正常的登录页面,以监视、盗取用户输入

预防逻辑

获取当前输入操作的域名(document.domain)和浏览器的当前域名(top.document.domain)对比,如果不一样,重新赋值该页面地址(top.location = '你的页面地址')

封装如下:

export function protest (loginpage) {
  let applicationdomain = document.domain
  if (top.document.domain === applicationdomain) {
    document.documentElement.style.display = 'block'
  } else {
    document.querySelector('html').hide()
    top.location = loginpage
  }
}

你可能感兴趣的:(预防跨框架脚本攻击)