这是一个创建于 3246 天前的主题,其中的信息可能已经有所发展或是发生改变。
这是一个演示链接: https://www.kindjeff.com/static/for_fun/v2ex_0.html
在这个链接里点击按钮之后,再来看我的 V2EX 主页: https://www.v2ex.com/member/kindjeff
会发现特别关注了我。思路很简单但是很有效。
在这个链接里点击按钮之后,再来看我的 V2EX 主页: https://www.v2ex.com/member/kindjeff
会发现特别关注了我。思路很简单但是很有效。
第 1 条附言 · 2017 年 3 月 1 日
如果 V2EX 网页响应出现了 X-Frame-Options 头,说明站长已经修复啦!
 |
1
eastpiger 2017 年 2 月 28 日
看起来很厉害的样子。
除了我并没有发现特别关注了你呢 |
 |
2
isCyan 2017 年 2 月 28 日 via Android
劫持失败?
|
 |
3
shiny PRO 报错了:[Error] Blocked a frame with origin "https://www.v2ex.com" from accessing a frame with origin "https://www.kindjeff.com". Protocols, domains, and ports must match.
|
 |
4
mythabc 2017 年 2 月 28 日
iframe 233
|
 |
5
binux 2017 年 2 月 28 日
|
 |
6
kankana 2017 年 2 月 28 日
clickjacking?
|
 |
7
acmetal 2017 年 2 月 28 日
V2 应该本来就有防止被 iframe 的 js ,只不过。。。。
 |
 |
10
wjm2038 2017 年 2 月 28 日 via Android
失败了
|
 |
11
Mutoo 2017 年 2 月 28 日
Anything with <frame> and <iframe>. A site can use the X-Frame-Options header to prevent this form of cross-origin interaction.
https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy |
 |
12
also24 2017 年 2 月 28 日
 hhhhh 这很机智 |
 |
13
kindjeff OP 之后失败的各位可以回复一下浏览器版本号。以及分辨率……
成功的也可以回一下。 |
 |
14
nanpuyue 2017 年 2 月 28 日
有意思。
|
 |
15
imlonghao673 2017 年 2 月 28 日 via Android
clickhijacking
几年前看过用来做吸粉的 |
 |
17
xxxoooooxx 2017 年 2 月 28 日 via Android
chrome 阻止了第三方 cookie ,没反应
|
 |
18
oott123 2017 年 2 月 28 日  1
 |
 |
19
Coxxs 2017 年 2 月 28 日
Clickjacking
|
 |
20
terence4444 2017 年 2 月 28 日
Firefox 无效,本来以为是我用了防跨站的 RequestPolicy ,后来把这个插件关了也是一样的。
|
|
21
terence4444 2017 年 2 月 28 日
发现我还禁止了第三方 cookie ,不过这个攻击对于普通浏览器来说,可能是有效的。
  |
 |
22
ic2y 2017 年 2 月 28 日
无效。 chrome 进行了拦截
Uncaught DOMException: Blocked a frame with origin "https://www.v2ex.com" from accessing a cross-origin frame. |
 |
23
x86 2017 年 2 月 28 日 via iPhone
某书上看过例子
|
 |
24
changwei 2017 年 2 月 28 日 via Android
余弦的书上讲过这种攻击方式
|
 |
25
kxxoling 2017 年 2 月 28 日
osX + Chrome 56 劫持成功。
|
 |
26
billlee 2017 年 2 月 28 日
r#20 @terence4444 我的 Firefox 并没有拦截啊
|
|
27
terence4444 2017 年 2 月 28 日
@billlee 看上面回复,大概是我装的那两个扩展,我一向对跨站请求和跨站 cookies 很小心。
|
|
28
billlee 2017 年 3 月 1 日
r#21 @terence4444 你这个 firefox 扩展是什么?
|
|
29
terence4444 2017 年 3 月 1 日 via iPhone 1
@billlee Cookie Monster + RequestPolicy Continued
|
 |
30
Layne 2017 年 3 月 1 日
reeder 的内置浏览器,成功关注
|
 |
31
20015jjw 2017 年 3 月 1 日 via Android
android chrome 成功 记得要选 desktop site
|
 |
32
xzpjerry731 2017 年 3 月 1 日
缩放 175%后没有效果 (滑稽
|
 |
34
tabris17 2017 年 3 月 1 日
chrome
Uncaught DOMException: Blocked a frame with origin "https://www.v2ex.com" from accessing a cross-origin frame. |
 |
37
ScotGu 2017 年 3 月 1 日
centbrowser 版本 2.3.7.50 (Chromium 55.0.2883.103) 成功。
Chrome 版本 56.0.2924.87 关闭 uBlock Origin 后 成功。 测试系统 Win 10 v2ex.com 必须是登陆状态才有效。 |
 |
38
ieliwb 2017 年 3 月 1 日
osX + Chrome 56 劫持成功 +1
|
 |
39
journey 2017 年 3 月 1 日
 win10 1607 + Chrome 56 劫持成功 +1 有趣 |
 |
40
crossoverJie 2017 年 3 月 1 日
macos chrome 56 +1
|
 |
41
Livid MOD PRO 谢谢楼主的提醒 :)
|
 |
42
Izual_Yang 2017 年 3 月 1 日
对于 uBlockOrigin 或 uMatrix (或者类似的 noscript 类扩展)用户而言并无卵用
http://ww1.sinaimg.cn/large/53c2ce22gy1fd7a8c2wm2j20wc07dmzz |
|
43
Izual_Yang 2017 年 3 月 1 日
更何况就算 uMatrix 放行了,仍然只看到一个空白网页上的按钮,浏览器 console 提示:
Refused to display 'https://www.v2ex.com/member/kindjeff' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN, SAMEORIGIN'. |
 |
44
lyragosa 2017 年 3 月 1 日
按钮无法点击
控制台提示 Refused to display 'https://www.v2ex.com/member/kindjeff' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN, SAMEORIGIN'. Chrome 56.0.2924.87 (64-bit) |
 |
45
aristotll 2017 年 3 月 1 日
chrome 拦截了汗
|
 |
46
paradoxs 2017 年 3 月 1 日
OSX + 56.0.2924.87 (64-bit) 劫持失败
|
 |
47
zhouyg 2017 年 3 月 1 日
确实很有意思
|
 |
48
zpf124 2017 年 3 月 1 日
Refused to display 'https://www.v2ex.com/member/kindjeff' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN'.
Chrome 浏览器识别了 X-Frame-Options 请求头,拒绝载入对应的页面。 用新版的 edge 和 ie 也是如此。 我想这个请求头 现代浏览器应该都能识别。 |
 |
50
moonkiller 2017 年 3 月 1 日
你的 button 没法点击啊。。。
|
 |
51
nodeath 2017 年 3 月 1 日
这是点击劫持啊,好老的东西了,一般浏览器都会做拦截
|
 |
52
luanluan 2017 年 3 月 1 日
这个怎么实现的呢?
|
 |
53
Arrowing 2017 年 3 月 1 日
我弄了之后,被 V2 403 了。。。好久进不来。
|
 |
54
menc 2017 年 3 月 1 日
这不叫界面劫持,叫 click jacking ,很老的东西了
|
 |
55
Felldeadbird 2017 年 3 月 1 日
失效了。 a frame because it set 'X-Frame-Options' to 'SAMEORIGIN'.
看来是 V2 更新了设置啊 |
 |
56
leots 2017 年 3 月 1 日
完全无法点击.....
|
 |
57
anthozoan77 2017 年 3 月 1 日
Refused to display 'https://www.v2ex.com/member/kindjeff' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN'.
虽然无法关注,有意思哈哈。 |
 |
58
tammy 2017 年 3 月 9 日
没人用 FF 吗,根本没反应啊
|
Select Language