程序员经验分享-hwhale

摆脱 Facebook 的 Iframe 封锁

2023-12-15

在 Facebook 上,他们似乎有一个阻止你加载iframe他们的网站。

当您这样做时,他们会锁定其网站的完整功能example.

我只是想知道是否有人知道如何绕过这个?


如果他们不阻止这种情况,攻击者就可以将 Facebook 页面加载到透明 iframe 中,并在其下方放置一些有趣的内容。假设受害者已登录 Facebook,然后访问攻击者的网站(一段时间后,在另一个选项卡中)。

受害者将点击攻击者网站上的某些内容。但实际上它是点击透明的 iframe 并触发 facebook 网站上的一些操作。浏览器当然会将会话 cookie 发送到 Facebook,并且 Facebook 会看到登录用户的合法操作。

维基百科有一篇关于点击劫持的文章:http://en.wikipedia.org/wiki/Clickjacking

可以使用非官方的 X-Frame-Option http 标头来防止这种攻击,如上所述http://www.webmasterworld.com/webmaster/4022867.htm不幸的是,并非所有浏览器都支持它,因此还需要一个打破框架的 java 脚本。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

facebook

iframe

block

摆脱 Facebook 的 Iframe 封锁 的相关文章

  • iPhone 应用程序拒绝 17.2:应用程序要求用户使用 Facebook 帐户登录

    我按照此处的本机 iOS 应用程序的登录说明进行操作https developers facebook com docs mobile ios build https developers facebook com docs mobile

  • facebook /v2.1/oauth/authorize 不重定向到 /v2.1/dialog/oauth

    我尝试将 canvas app 移至 v2 1 api 因此 当用户授权该应用程序时 我发送 协议 graph facebook com v2 1 oauth authorize client id XXXX scope redirect

  • Graph API / FQL 不返回页面的所有事件

    脸书页面 http facebook com getwellgabby events http facebook com getwellgabby events 目前有 8 个活动 我能看到他们 非管理员可以看到它们并可以加入它们 但是 当

  • Facebook 登录打开错误的应用程序

    我正在尝试使用 facebook 实现应用程序的登录 但每次我尝试登录时 它都建议打开错误的应用程序 我尝试了一些在这里找到的东西 但没有成功 在 Facebook 的开发者页面上我添加了一个后缀 我的 plist 如下 有谁知道发生了什么

  • 具有隐式授权的 OAuth 应用程序中的客户端模拟

    来自 OAuth 草案 隐式section https datatracker ietf org doc html draft ietf oauth v2 31 section 1 3 2 在隐式授权流程期间发出访问令牌时 授权服务器不对客

  • 奇怪的 Facebook ID [关闭]

    Closed 这个问题需要细节或清晰度 help closed questions 目前不接受答案 我有两个 Facebook 应用程序 它们都正在开发中 其中一个是很久以前创建的 而另一个则是相当新的 自从我升级到新的 iOS Faceb

  • Facebook的publish_actions不再在桌面应用程序中工作

    根据这个 https developers facebook com docs apps changelog https developers facebook com docs apps changelog2014 年 4 月 30 日之

  • 使用 easyXDM 调整 IFrame 大小

    我将 iFrame 代码提供给客户 以便他们可以显示我网站上的动态内容 我希望其页面上的 iFrame 能够调整大小以适合我的内容 我按照 easyXDM 网站的说明进行操作 但也许我遗漏了一些东西 我没有收到任何错误 但 iFrame 保

  • 为什么我们在 @synchronized 块中传递 self ?

    我猜 synchronized 块不依赖于对象 而是依赖于线程 对吗 既然如此 我们为什么要传递 self 呢 synchronized是语言提供的用于创建同步作用域的构造 因为使用简单的全局共享互斥锁效率非常低 因此序列化每个单独的互斥锁

  • Facebook Graph API v3.1 开发人员访问令牌权限限制

    如您所知 Facebook 将其 API 升级到了 V3 1 现在正在慢慢地淘汰旧的 API 和应用程序 因此我们必须迁移到新的 API 他们做出了一些艰难的决定 这对垃圾邮件网站来说是好事 但对开发人员来说也很难 提醒 Graph API

  • 本地权威声明和外部提供商声明的混淆

    我正在创建一个简单的 WebApi 它允许用户与 Facebook 连接 当我从 facebook 获取 accessToken 时 我调用 RegisterExternal 创建 Asp Net Identity 记录并存储令牌中的声明

  • 如何从 WinJS iframe Windows 8 应用程序形成 POST 到 Paypal?

    我有一个使用 Javascript HTML 的 Windows 8 应用程序 在 iframe 中我有一个 Paypal 表单

  • Android 设备上的 Facebook 分享问题

    我使用了来自的样本AndroidFacebook示例 https github com ddewaele AndroidFacebookSample它在模拟器上运行良好 但在设备上它被转移到内置的 Facebook 意图 设备上不会出现身份

  • 在发布我的应用程序之前在 play.google 上获取我的应用程序的链接

    我想使用 facebook api 分享我的应用程序的链接 play google 上的链接 但在将应用程序发布到市场之前我必须拥有它才能将其放入我的代码中 除了发布后立即更新我的应用程序之外 还有其他解决方案吗 用这个 https pla

  • Facebook Graph API 使用 json 和 C# 检索好友

    我正在使用 C 和 Graph API 进行工作 并且能够获取 Facebook 用户个人资料信息 例如 ID 姓名和电子邮件 然后反序列化 JSON 以便能够将值分配给标签 然而 我的问题是 当我去获取好友列表或任何与此相关的列表时 如何

  • JRuby:带有 Ruby 块的 Java 命令模式:为什么它有效?

    我正在学习如何将 Java 库与 Ruby 代码集成 并提出以下问题 我有一个用Java实现的命令模式 如下所示 public interface Command public String execute String param pub

  • As3 Graph API 注销

    我正在开发一个由不同用户玩的应用程序 但我使用 as3 graph api 来验证用户身份并在他们的墙上发布 并且我需要在下一个用户在 as3 graph 上开始会话之前注销每个用户应用程序编程接口 http code google com

  • 如何获得永不过期的 Facebook_Account_(即页面)访问令牌?

    由于一些不幸的术语选择 这个主题很难在 Google 上搜索到 所以在我问问题之前 先快速澄清一下 Facebook 帐户 即一个人的顶级个人帐户 可以有子帐户 公司 品牌 名人等 不幸的是 Facebook 称之为 帐户 与这些 帐户 交

  • Facebook Graph API“/userid/feed”返回空白

    我正在使用 Facebook C SDK 但似乎无法使用 Graph API 获取反馈数据 我已从用户那里获得了以下扩展权限 范围 离线访问 publish stream publish checkins create event read

  • 减小android facebook SDK的大小

    我们正在使用facebook sdk让用户登录我们的应用程序 但 SDK 相当大 因此它增加了我们的 apk 大小 由于我们只使用登录功能 因此不需要 SDK 的其他模块 共享 消息传递等 有什么办法可以让我们在项目中只添加SDK所需的功能

随机推荐

热门标签