Client de la Croix-Cadre Attaque de Script de résolution

Nous avons développé une nouvelle application, et avant de déplacer les changements que nous avons fait une analyse statique de code à l'aide de checkmarx.
Il y a un niveau moyen de vulnérabilité que l'on retrouve dans le nom de code Client de la Croix-Cadre Attaque de Script.

C'est detacted à la première ligne de la page JSP :

<!DOCTYPE html>

Pouvez-vous svp m'aider à comprendre cette attaque et ce qui doit être fait pour éliminer ce?

La première étape est de chercher ces noms et trouver la référence sur le site de l'OWASP: owasp.org/index.php/Cross_Frame_Scripting
Plus d'informations sont nécessaires concernant votre page. Cadre de Cross Scripting n'est pas un vrai vulnérabilité web. Voir cette question similaire.

OriginalL'auteur Tushar | 2015-01-05

  1. 5

    La Client Cross Site Scripting Attaque recherche si la page se protège lui-même incorporée dans un IFrame. Il recherche pour des conditions telles que:

     if (top != self)
 if (top.location != location)
 if (top.frames.length != 0)

    et ainsi de suite.

    Ce fichier spécifique, je crois, n'a pas de telles conditions, de sorte que le PLUS PROBABLE ne pas se protéger, et c'est pourquoi la requête a trouvé et l'a marqué. Puisque nous sommes à la recherche pour l'un de ligne manquant ici, le résultat montre que le fichier, et ne peut pas vous montrer où est le problème.

    Espérons que cela aide,

    Adar de Checkmarx.

    OriginalL'auteur adar

  2. 1

    Pour plus de profondeur à cette question, et de fixer la Croix-Cadre de Script problème découvrez https://css-tricks.com/snippets/javascript/break-out-of-iframe/

    Fondamentalement jeter dans vos parent-plus fichier de mise en page (_Layout.cshtml en C# MVC)

            (function (window) { //Prevent Cross-Frame Scripting attacks
            if (window.location !== window.top.location)
                window.top.location = window.location;
        })(this);

    OriginalL'auteur Serj Sagan

  3. 1

    Il suffit d'ajouter le morceau de code suivant dans votre fichier HTML.

    <style id='antiClickjack'>
    body{display:none !important;}
</style>

<script type='text/javascript'>
    if (self === top) {
    var antiClickjack = document.getElementById('antiClickjack');
    antiClickjack.parentNode.removeChild(antiClickjack);
    } else {
    top.location = self.location;
    }
</script>

    OriginalL'auteur ronak soni