Come distruggere il codice di busting del frame senza sandbox

1

Inserito in stackoverflow, ma le persone sembrano essere spaventate dal codice di exploit. Ho la seguente pagina index.html che contiene un iframe.

<body>
    <iframe id="other" src="http://www.example.com"width="1250" height="500"></iframe>

    <iframe id="evil" src="busted_page.html" width="500" height="500">
    </iframe>

    <style type="text/css">
        #other { position: absolute; top: 50px; left: 50px;}
        #evil {position: absolute; top: 50px; left: 50px; opacity: 0.7;}
    </style>
</body>

Il file busted_page.html contiene il seguente script:

<script>if(top != self) top.location.href = location.href;</script>

Ho un'estensione di Chrome che sto cercando di aggirare questo frame busting con l'utilizzo di uno script di contenuto eseguito a document_end . Posso accedere al DOM della pagina index.html prima del caricamento del frame, ma non so come interrompere il frame busting.

Ho provato:

 top.location.href = document.location.href

E diverse varianti di ciò, ma la pagina continua a ricaricarla in quel modo. Ho provato a passare un argomento all'iframe src:

iframe.src += "?v=<script>if";

Ma anche questo non funziona. Ho studiato come fare questo qui , ma non ho avuto fortuna. Come posso davvero farlo?

    
posta 123 15.06.2018 - 23:50
fonte

0 risposte

Leggi altre domande sui tag