Как реализовать рамочный бастер?

Question

Я ищу руководство, описывающее, как реализовать работающий фрейм-бастер, который также работает с людьми, у которых в браузере не активирован JS.

Я прочитал этот очень хороший вопрос но меня абсолютно не интересуют какие-либо советы, такие как «не делай этого сам» или «возможно, попробуй ...».Я хочу увидеть статью с пошаговым руководством, объясняющим каждое «почему» (без предположений «возможно» и «без предположений»).Академические работы предпочтительнее.

Может кто-нибудь опубликовать ссылку на фактическую работу Святого Грааля об этом?

спасибо,

Answer 1

Если честно, я думаю, что вы описываете невозможно. Поправьте меня, если я ошибаюсь, но это кажется нарушением той же политики происхождения. Это статья «de-facto Holdy-Grail» о том, что браузерам разрешено делать: http://code.google.com/p/browsersec/wiki/Main Обязательно прочитайте раздел 2.

* РЕДАКТИРОВАТЬ: ClickJacking - это атака, которая обходит аспекты той же политики происхождения в не пропатченных веб-браузерах. Попытка предотвратить все атаки, которые могут быть совершены с помощью непатентованных браузеров, является грандиозной задачей, учитывая, что этот человек, скорее всего, уже взломан и не относится к BotNet. Если вы действительно обеспокоены уязвимыми веб-браузерами, я рекомендую заблокировать IE6 и ниже.

Answer 2

В IE8 у вас есть http://blogs.msdn.com/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx (поэтому сайт или страница, которые не хотят быть в iframe, установили бы заголовок ответа X-FRAME-OPTIONS: DENY). Я также протестировал это с Firefox 3.5.x в какой-то момент, и это сработало.

В противном случае связанная страница (http://coderrr.wordpress.com/2009/02/13/preventing-frame-busting-and-click-jacking-ui-redressing/) довольно точно описывает проблему и то, сколько крупных сайтов решают эту проблему сегодня для некоторого подмножества своих страниц, поскольку большое количество пользователей все еще используют IE6 и т. Д.)