0

それで、このコードを自分のサイトに載せている人がいます:

<iframe name="frame" src="" frameborder="0"  width="1" height="1" allowfullscreen style="width:1;height:1;"></iframe>
<form name="form" method="POST" action="http://mysite.com/vote.php" target="frame">
  <input type="hidden" name="vote" value="1" />
  <input type="hidden" name="id" value="1337" />
</form>
<script type="text/javascript">
  document.forms.form.submit();
</script>

この小さなコードで、彼はすべてのユーザーをだまして投稿 (1337) に賛成票を投じさせています。

どうすればこれを止めることができますか? 何か案は?

次の (.htaccess) を試しましたが、停止しません。

# DISABLE IFRAME
Header set X-Frame-Options DENY
Header always append X-Frame-Options SAMEORIGIN
4

2 に答える 2

0

ここでは次の 2 つのことを想定しています。

  1. mod_headers をインストールして有効にしました。

  2. Headerエントリを<IfModule mod_headers.c>(またはその変形)内に配置しました。

私の仮定が正しいかどうかにかかわらず、この問題のトラブルシューティングを行いましょう。

  1. 実際のヘッダーがブラウザーに送信されていることを確認してください。質問のどこにも、これをテストしたとは述べていません。

  2. この追加ヘッダーを試してください: Header set X-XSS-Protection "1; mode=block";

  3. このセクションを削除し<IfModule ...>て、モジュールがロードされていないことを通知する Apache が失敗する (または警告を出す) かどうかを確認します。

  4. 目的の値を (存在する可能性のあるエントリに)追加するため、使用したくありませ。ブラウザがそれをどのように解釈するかは誰にもわかりません。Header append ...

  5. 多分これを試してみてください:

    Header unset X-Frame-Options DENY
Header set X-Frame-Options DENY
于 2013-05-09T19:08:40.267 に答える