这是一个创建于 3178 天前的主题,其中的信息可能已经有所发展或是发生改变。
这是一个演示链接: https://www.kindjeff.com/static/for_fun/v2ex_0.html
在这个链接里点击按钮之后,再来看我的 V2EX 主页: member/kindjeff
会发现特别关注了我。思路很简单但是很有效。
在这个链接里点击按钮之后,再来看我的 V2EX 主页: member/kindjeff
会发现特别关注了我。思路很简单但是很有效。
第 1 条附言 2017-03-01 15:10:30 +08:00
如果 V2EX 网页响应出现了 X-Frame-Options 头,说明站长已经修复啦!
 | 1 eastpiger 2017-02-28 21:30:18 +08:00 看起来很厉害的样子。 除了我并没有发现特别关注了你呢 |
 | 2 isCyan 2017-02-28 21:34:13 +08:00 via Android 劫持失败? |
 | 3 shiny PRO 报错了:[Error] Blocked a frame with origin "https://www.v2ex.com" from accessing a frame with origin "https://www.kindjeff.com". Protocols, domains, and ports must match. |
 | 4 mythabc 2017-02-28 21:38:10 +08:00 iframe 233 |
 | 5 binux 2017-02-28 21:39:06 +08:00 |
 | 6 kankana 2017-02-28 21:40:52 +08:00 clickjacking? |
 | 7 acmetal 2017-02-28 21:47:53 +08:00 V2 应该本来就有防止被 iframe 的 js ,只不过。。。。  |
 | 10 wjm2038 2017-02-28 22:07:10 +08:00 via Android 失败了 |
 | 11 Mutoo 2017-02-28 22:10:51 +08:00 Anything with <frame> and <iframe>. A site can use the X-Frame-Options header to prevent this form of cross-origin interaction. https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy |
 | 12 also24 2017-02-28 22:13:24 +08:00  hhhhh 这很机智 |
 | 13 kindjeff OP 之后失败的各位可以回复一下浏览器版本号。以及分辨率…… 成功的也可以回一下。 |
 | 14 nanpuyue 2017-02-28 22:19:30 +08:00 有意思。 |
 | 15 imlonghao673 2017-02-28 22:29:07 +08:00 via Android clickhijacking 几年前看过用来做吸粉的 |
 | 16 whoops 2017-02-28 22:31:25 +08:00 @kindjeff chrome 版本 58.0.3018.3 (正式版本) unknown ( 64 位) 3653x2400 |
 | 17 xxxoooooxx 2017-02-28 22:32:14 +08:00 via Android chrome 阻止了第三方 cookie ,没反应 |
 | 18 oott123 2017-02-28 22:33:35 +08:00  1  |
 | 19 Coxxs 2017-02-28 22:38:17 +08:00 Clickjacking |
 | 20 terence4444 2017-02-28 22:40:18 +08:00 Firefox 无效,本来以为是我用了防跨站的 RequestPolicy ,后来把这个插件关了也是一样的。 |
| 21 terence4444 2017-02-28 22:50:51 +08:00 发现我还禁止了第三方 cookie ,不过这个攻击对于普通浏览器来说,可能是有效的。   |
 | 22 ic2y 2017-02-28 23:01:08 +08:00 无效。 chrome 进行了拦截 Uncaught DOMException: Blocked a frame with origin "https://www.v2ex.com" from accessing a cross-origin frame. |
 | 23 x86 2017-02-28 23:03:25 +08:00 via iPhone 某书上看过例子 |
 | 24 changwei 2017-02-28 23:06:15 +08:00 via Android 余弦的书上讲过这种攻击方式 |
 | 25 kxxoling 2017-02-28 23:21:27 +08:00 osX + Chrome 56 劫持成功。 |
 | 26 billlee 2017-02-28 23:43:08 +08:00 r#20 @terence4444 我的 Firefox 并没有拦截啊 |
| 27 terence4444 2017-02-28 23:56:42 +08:00 @billlee 看上面回复,大概是我装的那两个扩展,我一向对跨站请求和跨站 cookies 很小心。 |
| 28 billlee 2017-03-01 00:00:06 +08:00 r#21 @terence4444 你这个 firefox 扩展是什么? |
| 29 terence4444 2017-03-01 00:01:22 +08:00 via iPhone 1 @billlee Cookie Monster + RequestPolicy Continued |
 | 30 Layne 2017-03-01 03:11:18 +08:00 reeder 的内置浏览器,成功关注 |
 | 31 20015jjw 2017-03-01 03:11:32 +08:00 via Android android chrome 成功 记得要选 desktop site |
 | 32 xzpjerry731 2017-03-01 05:50:15 +08:00 缩放 175%后没有效果 (滑稽 |
 | 34 tabris17 2017-03-01 09:09:13 +08:00 chrome Uncaught DOMException: Blocked a frame with origin "https://www.v2ex.com" from accessing a cross-origin frame. |
 | 37 ScotGu 2017-03-01 09:28:10 +08:00 centbrowser 版本 2.3.7.50 (Chromium 55.0.2883.103) 成功。 Chrome 版本 56.0.2924.87 关闭 uBlock Origin 后 成功。 测试系统 Win 10 v2ex.com 必须是登陆状态才有效。 |
 | 38 ieliwb 2017-03-01 09:46:32 +08:00 osX + Chrome 56 劫持成功 +1 |
 | 39 journey 2017-03-01 10:29:00 +08:00  win10 1607 + Chrome 56 劫持成功 +1 有趣 |
 | 40 crossoverJie 2017-03-01 13:20:56 +08:00 macos chrome 56 +1 |
 | 41 Livid MOD PRO 谢谢楼主的提醒 :) |
 | 42 Izual_Yang 2017-03-01 13:38:52 +08:00 对于 uBlockOrigin 或 uMatrix (或者类似的 noscript 类扩展)用户而言并无卵用 http://ww1.sinaimg.cn/large/53c2ce22gy1fd7a8c2wm2j20wc07dmzz |
| 43 Izual_Yang 2017-03-01 13:43:34 +08:00 更何况就算 uMatrix 放行了,仍然只看到一个空白网页上的按钮,浏览器 console 提示: Refused to display 'member/kindjeff' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN, SAMEORIGIN'. |
 | 44 lyragosa 2017-03-01 13:45:32 +08:00 按钮无法点击 控制台提示 Refused to display 'member/kindjeff' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN, SAMEORIGIN'. Chrome 56.0.2924.87 (64-bit) |
 | 45 aristotll 2017-03-01 13:48:26 +08:00 chrome 拦截了汗 |
 | 46 paradoxs 2017-03-01 13:52:24 +08:00 OSX + 56.0.2924.87 (64-bit) 劫持失败 |
 | 47 zhouyg 2017-03-01 14:03:52 +08:00 确实很有意思 |
 | 48 zpf124 2017-03-01 14:10:01 +08:00 Refused to display 'member/kindjeff' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN'. Chrome 浏览器识别了 X-Frame-Options 请求头,拒绝载入对应的页面。 用新版的 edge 和 ie 也是如此。 我想这个请求头 现代浏览器应该都能识别。 |
 | 50 moonkiller 2017-03-01 14:52:19 +08:00 你的 button 没法点击啊。。。 |
 | 51 nodeath 2017-03-01 15:03:06 +08:00 这是点击劫持啊,好老的东西了,一般浏览器都会做拦截 |
 | 52 luanluan 2017-03-01 15:03:33 +08:00 这个怎么实现的呢? |
 | 53 Arrowing 2017-03-01 15:19:48 +08:00 我弄了之后,被 V2 403 了。。。好久进不来。 |
 | 54 menc 2017-03-01 15:44:33 +08:00 这不叫界面劫持,叫 click jacking ,很老的东西了 |
 | 55 Felldeadbird 2017-03-01 16:12:22 +08:00 失效了。 a frame because it set 'X-Frame-Options' to 'SAMEORIGIN'. 看来是 V2 更新了设置啊 |
 | 56 leots 2017-03-01 18:55:11 +08:00 完全无法点击..... |
 | 57 anthozoan77 2017-03-01 20:46:37 +08:00 Refused to display 'member/kindjeff' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN'. 虽然无法关注,有意思哈哈。 |
 | 58 tammy 2017-03-09 19:59:57 +08:00 没人用 FF 吗,根本没反应啊 |
Select Language