1.5　實驗#5：testaspnet網(wǎng)站有框架釣魚風(fēng)險

缺陷標(biāo)題　testaspnet網(wǎng)站→comments評論區(qū)→評論框中，存在框架釣魚風(fēng)險。

測試平臺與瀏覽器　Windows 7+IE 9或Firefox。

測試步驟

（1）用IE瀏覽器打開testaspnet網(wǎng)站http://testaspnet.vulnweb.com/。

（2）在主頁中單擊comments。

（3）在comments文本框中輸入iframe src=http://baidu.com，單擊Send comment按鈕，如圖1-9所示。

（4）查看結(jié)果頁面。

期望結(jié)果　用戶能夠正常評論，不存在框架釣魚風(fēng)險。

實際結(jié)果　存在框架釣魚風(fēng)險，覆蓋了其他評論，并且頁面顯示錯亂，如圖1-10所示。

專家點評

---

為避免自己的網(wǎng)頁或網(wǎng)站被frame或者iframe框架（阻止釣魚風(fēng)險），目前大致有3種方法。

1．使用meta元標(biāo)簽

2．使用JavaScript腳本

這個方法用得比較多，但是該方法已經(jīng)有了破解的辦法，那就是在父框架中加入腳本var location=document.location或者var location=＂＂。記住，前臺的驗證經(jīng)常會被繞行或被其他方式取代而不起作用。

3．使用加固HTTP安全響應(yīng)頭

這里介紹的響應(yīng)頭是X-Frame-Options，這個屬性可以解決使用JavaScript判斷會被var location破解的問題，IE 8、Firefox 3.6、Chrome 4以上的版本均能很好地支持。以Java EE軟件開發(fā)為例，補(bǔ)充Java后臺代碼

      //to prevent all framing of this content
      response.addHeader(＂X-FRAME-OPTIONS＂,＂DENY＂);
      //to allow framing of this content only by this site
      response.addHeader(＂X-FRAME-OPTIONS＂,＂SAMEORIGIN＂);

就可以進(jìn)行服務(wù)器端的驗證（攻擊者是無法繞過服務(wù)器端驗證的），從而確保網(wǎng)站不會被框架釣魚利用。此種解決方法是目前最為安全的解決方案。