프레임 버스팅 버스터 물리치기 다른 웹사이트가 귀하의 사이트를 내에 삽입하는 것을 방지하려는 시나리오를 생각해 보세요. 이렇게 하려면 다음과 같은 프레임 버스팅 JavaScript를 페이지에 통합하세요.</p> <div class="code" style="position:relative; padding:0px; margin:0px;"><pre>/* break us out of any containing iframes */ if (top != self) { top.location.replace(self.location.href); }</pre><div class="contentsignin">로그인 후 복사</div></div> <p>효과적인 동안 이 코드는 프레임 버스팅 버스터로 우회될 수 있습니다.</p> <div class="code" style="position:relative; padding:0px; margin:0px;"><pre><script type="text/javascript"> var prevent_bust = 0 window.onbeforeunload = function() { prevent_bust++ } setInterval(function() { if (prevent_bust > 0) { prevent_bust -= 2 window.top.location = 'http://example.org/page-which-responds-with-204' } }, 1) </script></pre><div class="contentsignin">로그인 후 복사</div></div> <p>이것은 버스터의 작동 방식은 다음과 같습니다.</p> <ul> <li>다른 방향으로 탐색을 시도하면 카운터가 증가합니다. 페이지</li> <li>카운터가 증가하면 타이머를 사용하여 페이지를 공격자의 서버로 리디렉션</li> <li>204 HTTP 상태 코드 검색, 추가 탐색 방지</li> </ul> <p><strong> 그렇다면 프레임버스터를 어떻게 물리칠 수 있을까요?</strong></p> <p>원 효과적인 접근 방식은 대부분의 최신 브라우저에서 지원되는 X-Frame-Options: 거부 지시문을 사용하는 것입니다. 이 지시문은 스크립팅이 비활성화된 경우에도 프레이밍을 방지합니다:</p> <div class="code" style="position:relative; padding:0px; margin:0px;"><pre>X-Frame-Options: deny</pre><div class="contentsignin">로그인 후 복사</div></div> <p><strong>브라우저 지원:</strong></p> <ul> <li> <strong>IE8:</strong> https://blogs.msdn.com/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx</li> <li> <p><strong>Firefox (3.6.9):</strong></p> <ul> <li>https://bugzilla.mozilla.org/show_bug.cgi?id=475530</li> <li>htt ps://developer.mozilla.org/en/The_X-FRAME-OPTIONS_response_header</li> </ul> </li> <li> <p><strong>Chrome/웹킷:</strong></p> <ul> <li>http://blog.chromium.org/2010/01/security-in-length-n ew-security-features.html</li> <li>http://trac.webkit.org/changeset/42333</li> </ul> </li> </ul>
