这是一个创建于 2613 天前的主题,其中的信息可能已经有所发展或是发生改变。
这是一个演示链接: https://www.kindjeff.com/static/for_fun/v2ex_0.html
在这个链接里点击按钮之后,再来看我的 V2EX 主页: https://www.v2ex.com/member/kindjeff
会发现特别关注了我。思路很简单但是很有效。
在这个链接里点击按钮之后,再来看我的 V2EX 主页: https://www.v2ex.com/member/kindjeff
会发现特别关注了我。思路很简单但是很有效。
第 1 条附言 · 2017-03-01 15:10:30 +08:00
如果 V2EX 网页响应出现了 X-Frame-Options 头,说明站长已经修复啦!
 |
1
eastpiger 2017-02-28 21:30:18 +08:00
看起来很厉害的样子。
除了我并没有发现特别关注了你呢 |
 |
2
isCyan 2017-02-28 21:34:13 +08:00 via Android
劫持失败?
|
 |
3
shiny 2017-02-28 21:34:41 +08:00
报错了:[Error] Blocked a frame with origin "https://www.v2ex.com" from accessing a frame with origin "https://www.kindjeff.com". Protocols, domains, and ports must match.
|
 |
4
mythabc 2017-02-28 21:38:10 +08:00
iframe 233
|
 |
5
binux 2017-02-28 21:39:06 +08:00
|
 |
6
kankana 2017-02-28 21:40:52 +08:00
clickjacking?
|
 |
7
acmetal 2017-02-28 21:47:53 +08:00
V2 应该本来就有防止被 iframe 的 js ,只不过。。。。
 |
 |
10
wjm2038 2017-02-28 22:07:10 +08:00 via Android
失败了
|
 |
11
Mutoo 2017-02-28 22:10:51 +08:00
Anything with <frame> and <iframe>. A site can use the X-Frame-Options header to prevent this form of cross-origin interaction.
https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy |
 |
12
also24 2017-02-28 22:13:24 +08:00
 hhhhh 这很机智 |
 |
13
kindjeff OP 之后失败的各位可以回复一下浏览器版本号。以及分辨率……
成功的也可以回一下。 |
 |
14
nanpuyue 2017-02-28 22:19:30 +08:00
有意思。
|
 |
15
imlonghao673 2017-02-28 22:29:07 +08:00 via Android
clickhijacking
几年前看过用来做吸粉的 |
 |
16
whoops 2017-02-28 22:31:25 +08:00
@kindjeff chrome 版本 58.0.3018.3 (正式版本) unknown ( 64 位)
3653x2400 |
 |
17
xxxoooooxx 2017-02-28 22:32:14 +08:00 via Android
chrome 阻止了第三方 cookie ,没反应
|
 |
18
oott123 2017-02-28 22:33:35 +08:00  1
 |
 |
19
Coxxs 2017-02-28 22:38:17 +08:00
Clickjacking
|
 |
20
terence4444 2017-02-28 22:40:18 +08:00
Firefox 无效,本来以为是我用了防跨站的 RequestPolicy ,后来把这个插件关了也是一样的。
|
|
21
terence4444 2017-02-28 22:50:51 +08:00
发现我还禁止了第三方 cookie ,不过这个攻击对于普通浏览器来说,可能是有效的。
  |
 |
22
ic2y 2017-02-28 23:01:08 +08:00
无效。 chrome 进行了拦截
Uncaught DOMException: Blocked a frame with origin "https://www.v2ex.com" from accessing a cross-origin frame. |
 |
23
x86 2017-02-28 23:03:25 +08:00 via iPhone
某书上看过例子
|
 |
24
changwei 2017-02-28 23:06:15 +08:00 via Android
余弦的书上讲过这种攻击方式
|
 |
25
kxxoling 2017-02-28 23:21:27 +08:00
osX + Chrome 56 劫持成功。
|
 |
26
billlee 2017-02-28 23:43:08 +08:00
r#20 @terence4444 我的 Firefox 并没有拦截啊
|
|
27
terence4444 2017-02-28 23:56:42 +08:00
@billlee 看上面回复,大概是我装的那两个扩展,我一向对跨站请求和跨站 cookies 很小心。
|
|
28
billlee 2017-03-01 00:00:06 +08:00
r#21 @terence4444 你这个 firefox 扩展是什么?
|
|
29
terence4444 2017-03-01 00:01:22 +08:00 via iPhone 1
@billlee Cookie Monster + RequestPolicy Continued
|
 |
30
Layne 2017-03-01 03:11:18 +08:00
reeder 的内置浏览器,成功关注
|
 |
31
20015jjw 2017-03-01 03:11:32 +08:00 via Android
android chrome 成功 记得要选 desktop site
|
 |
32
xzpjerry731 2017-03-01 05:50:15 +08:00
缩放 175%后没有效果 (滑稽
|
 |
34
tabris17 2017-03-01 09:09:13 +08:00
chrome
Uncaught DOMException: Blocked a frame with origin "https://www.v2ex.com" from accessing a cross-origin frame. |
 |
37
ScotGu 2017-03-01 09:28:10 +08:00
centbrowser 版本 2.3.7.50 (Chromium 55.0.2883.103) 成功。
Chrome 版本 56.0.2924.87 关闭 uBlock Origin 后 成功。 测试系统 Win 10 v2ex.com 必须是登陆状态才有效。 |
 |
38
ieliwb 2017-03-01 09:46:32 +08:00
osX + Chrome 56 劫持成功 +1
|
 |
39
journey 2017-03-01 10:29:00 +08:00
 win10 1607 + Chrome 56 劫持成功 +1 有趣 |
 |
40
crossoverJie 2017-03-01 13:20:56 +08:00
macos chrome 56 +1
|
 |
41
Livid MOD 谢谢楼主的提醒 :)
|
 |
42
Izual_Yang 2017-03-01 13:38:52 +08:00
对于 uBlockOrigin 或 uMatrix (或者类似的 noscript 类扩展)用户而言并无卵用
http://ww1.sinaimg.cn/large/53c2ce22gy1fd7a8c2wm2j20wc07dmzz |
|
43
Izual_Yang 2017-03-01 13:43:34 +08:00
更何况就算 uMatrix 放行了,仍然只看到一个空白网页上的按钮,浏览器 console 提示:
Refused to display 'https://www.v2ex.com/member/kindjeff' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN, SAMEORIGIN'. |
 |
44
lyragosa 2017-03-01 13:45:32 +08:00
按钮无法点击
控制台提示 Refused to display 'https://www.v2ex.com/member/kindjeff' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN, SAMEORIGIN'. Chrome 56.0.2924.87 (64-bit) |
 |
45
aristotll 2017-03-01 13:48:26 +08:00
chrome 拦截了汗
|
 |
46
paradoxs 2017-03-01 13:52:24 +08:00
OSX + 56.0.2924.87 (64-bit) 劫持失败
|
 |
47
zhouyg 2017-03-01 14:03:52 +08:00
确实很有意思
|
 |
48
zpf124 2017-03-01 14:10:01 +08:00
Refused to display 'https://www.v2ex.com/member/kindjeff' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN'.
Chrome 浏览器识别了 X-Frame-Options 请求头,拒绝载入对应的页面。 用新版的 edge 和 ie 也是如此。 我想这个请求头 现代浏览器应该都能识别。 |
 |
50
moonkiller 2017-03-01 14:52:19 +08:00
你的 button 没法点击啊。。。
|
 |
51
nodeath 2017-03-01 15:03:06 +08:00
这是点击劫持啊,好老的东西了,一般浏览器都会做拦截
|
 |
52
luanluan 2017-03-01 15:03:33 +08:00
这个怎么实现的呢?
|
 |
53
Arrowing 2017-03-01 15:19:48 +08:00
我弄了之后,被 V2 403 了。。。好久进不来。
|
 |
54
menc 2017-03-01 15:44:33 +08:00
这不叫界面劫持,叫 click jacking ,很老的东西了
|
 |
55
Felldeadbird 2017-03-01 16:12:22 +08:00
失效了。 a frame because it set 'X-Frame-Options' to 'SAMEORIGIN'.
看来是 V2 更新了设置啊 |
 |
56
leots 2017-03-01 18:55:11 +08:00
完全无法点击.....
|
 |
57
anthozoan77 2017-03-01 20:46:37 +08:00
Refused to display 'https://www.v2ex.com/member/kindjeff' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN'.
虽然无法关注,有意思哈哈。 |
 |
58
tammy 2017-03-09 19:59:57 +08:00
没人用 FF 吗,根本没反应啊
|
Select Language