Marketing Content

Iframe Breaking: Mokhoa oa ho Emisa ho Ikemela ka Ntle ho Tumello ea Litaba tsa Hau

Moeti oa sebaka sa ka sa marang-rang o kile a ntsebisa ha a tobetsa e 'ngoe ea lihokelo tsa ka ho Twitter; o tlisitsoe sebakeng sa ka sa marang-rang ka popup e kholo le temoso e mpe ea khoutu. Ho lekane ho tšosa motho, kahoo ke ile ka qala ho etsa liteko. Ho ne ho se letho le phoso ka sebaka sa ka sa marang-rang - bothata e ne e le sehokelo.

Sehokelo se seng sa sebaka sa marang-rang se hlahisitse thipa ea lisebelisoa holimo e khothalelitseng batho ho tobetsa sehokelo se kotsi ha ba ntse ba kenya sebaka sa ka sa marang-rang ka iframe ka tlase. Ho batho ba bangata, sebaka sa ka sa marang-rang se ka bonahala se phatlalatsa khoutu e mpe. Ke ne nke ke ka re ke rata sebaka leha e le sefe se kenyang sebaka sa ka ka har'a iframe, kahoo ke entse seo geek leha e le efe e utloahalang e ka se etsang ... Ke ile ka kenya sekhechana sa foreimi.

Haeba ho etsa sebaka sa hau sa marang-rang ha se kamehla ho leng kotsi, leha ho le joalo. Haufinyane tjena re arolelane sesebelisoa, Sniply, ho eketsa pitso ea ho nka khato (CTA) ho sehokelo sefe kapa sefe sa marang-rang seo u se arolelanang. E etsa sena ka ho kenya sebaka sa hau kaofela ka iframe le ho sebelisa div holim'a litaba tsa hau ka pitso-ho nka khato.

Empa ke ipabola haholo ka litaba tsa ka le boikitlaetso boo ke bo entseng Martech Zone, kahoo ha ke batle hore mang kapa mang a fane ka litaba tsa ka, leha e le ka sethala sa ho arolelana lihokela. Ha u etsa lipatlisiso, ho na le mekhoa e mengata ea ho sebetsana le sena.

U ka Khaotsa Joang ho Hlophisa Litaba tsa Hao ka JavaScript

Khoutu ena ea JavaScript e hlahloba hore na fensetere ea hajoale (self) ha se fensetere e holimo haholo (top). Haeba ho se joalo, sena se bolela hore leqephe le ka har'a foreime, iframe, kapa tse tšoanang, 'me sengoloa se lebisa fensetere e holimo ka ho fetesisa ho URL ea fensetere ea hona joale. Sena ka katleho qhoma ea iframe.

<script type='text/javascript'>
if (top !== self) top.location.href = self.location.href;
</script>

Ho na le mefokolo e mengata ea mokhoa ona:

  1. Ho itšetleha ka JavaScript: Haeba mosebelisi a koetse JavaScript, mokhoa ona o ke ke oa sebetsa.
  2. Ho lieha: Ho ka ba le tieho hanyane pele JavaScript e qala, nakong eo mofuta oa foreimi ea sebaka sa hau sa marang-rang o ntseng o ka bonahala.
  3. Lithibelo tse fapa-fapaneng: Maemong a mang, Same Origin Policy e ka thibela mongolo ona ho sebetsa kamoo o reriloeng kateng. Haeba tokomane ea motsoali e sebakeng se fapaneng, e kanna ea se khone ho fihlella top.location.href.
  4. Monyetla bakeng sa Frame-Busting-Busters: Ho boetse ho na le lingoloa (tse bitsoang li-frame-busting-busters) tse ka thibelang lingoloa tsa li-frame-busting ho sebetsa.

Mokhoa o betere ke ho sebelisa lihlooho tsa karabelo tsa HTTP.

X-Frame-Options le Content-Security Policy

ka bobeli X-Frame-Options 'me Content-Security-Policy (CSP) ke lihlooho tsa likarabo tsa HTTP tse sebelisetsoang ho matlafatsa ts'ireletso ea sebaka sa marang-rang. E 'ngoe le e' ngoe ea tsona e sebeletsa merero e fapaneng hanyane mme e na le maemo a fapaneng a ho feto-fetoha ha maemo.

X-Frame-Options ke sehlooho sa khale sa HTTP se etselitsoeng ho laola hore na sebaka sa hau sa marang-rang se ka kenngoa ho <frame>, <iframe>, <embed>, kapa <object> sebakeng se seng. E na le litaelo tse tharo tse ka khonehang:

  1. DENY - Leqephe le ke ke la hlahisoa ka foreimi, ho sa tsotelehe hore na sebaka sa marang-rang se leka ho etsa joalo.
  2. SAMEORIGIN - Leqephe le ka hlahisoa feela ka foreime ea tšimoloho e tšoanang le ea leqephe ka bolona.
  3. ALLOW-FROM uri - Leqephe le ka hlahisoa feela ka foreime holima tšimoloho e boletsoeng.

Leha ho le joalo, X-Frame-Options e na le moeli ka hore ha e khone ho sebetsana le maemo a thata, joalo ka ho lumella ho etsa liforeimi ho tsoa litsong tse fapaneng kapa ho sebelisa li-wildcards bakeng sa li-subdomain. Ha se libatli tsohle tse tšehetsang ALLOW-FROM taelo.

Content-Security-Policy, ka lehlakoreng le leng, ke hlooho ea HTTP e tenyetsehang haholoanyane le e matla. Leha e ka etsa tsohle X-Frame-Options e ka etsa le tse ling tse ngata, sepheo sa eona sa mantlha ke ho thibela litlhaselo tse ngata tsa ente ea khoutu, ho kenyeletsoa le mongolo oa sebaka sa marang-rang (XSS) le ho tobetsa. E sebetsa ka ho hlakisa lethathamo le letle la mehloli e tšepahalang ea litaba (lingoloa, setaele, litšoantšo, jj.).

Bakeng sa ho laola liforeimi, CSP e sebelisa frame-ancestors taelo. O ka hlakisa mehloli e mengata, ho kenyeletsoa libaka tse ngata le li-subdomain tsa wildcard. Mohlala ke ona:

cssCopy codeContent-Security-Policy: frame-ancestors 'self' yourdomain.com *.domain2.com;

Sena se ka lumella leqephe hore le thehoe sebakeng sa lona sa marang-rang ('self'), ho ea pele yourdomain.com, le ho subdomain efe kapa efe ea domain2.com.

CSP e khothaletsoa ho nkela sebaka sa X-Frame-Options, kaha e khona ho sebetsana le lintho tsohle X-Frame-Options e ka etsa, le tse ling tse ngata. Leha libatli tse ngata tsa sejoale-joale li tšehetsa CSP, ho kanna ha ba le libatli tsa khale kapa tse sa tloaelehang tse sa e tšehetseng ka botlalo.

U ka Khaotsa Joang ho Etsa Boikarabello ba Litaba tsa Hao ka HTML

Hona joale ho na le meta tag ea Content-Security-Policy e ka sebelisoang e thibelang bokhoni ba ho etsa iframe litaba tsa hau:

<meta http-equiv="Content-Security-Policy" content="frame-ancestors 'self' yourdomain.com">

Katleho ea HTML meta tag e na le moeli hobane ha se libatli tsohle tse hlomphang Content-Security-Policy ha o seta o sebelisa meta tag.

U ka Khaotsa Joang ho Ikarabela Litaba tsa Hao ka Lihlooho tsa HTTP

Ho molemo ho sebelisa lihlooho tsa HTTP X-Frame-Options or Content-Security-Policy ho laola ho etsa foreimi. Likhetho tsena li tšepahala, li bolokehile, 'me li sebetsa le ha JavaScript e koetsoe. Mokhoa oa JavaScript o lokela ho sebelisoa feela e le khetho ea ho qetela haeba o se na taolo holim'a seva ho seta lihlooho tsa HTTP. Bakeng sa mohlala o mong le o mong, fetola yourdomain.com ka domain name ea hau ea 'nete.

Apache - Fetola ea hau .htaccess faele ka tsela e latelang:

Header always set X-Frame-Options SAMEORIGIN
Header always set Content-Security-Policy "frame-ancestors 'self' yourdomain.com"

Nginx - Fetola sebaka sa hau sa seva ka tsela e latelang:

add_header X-Frame-Options SAMEORIGIN;
add_header Content-Security-Policy "frame-ancestors 'self' yourdomain.com";

IIS - etsa sena ka ho eketsa tse latelang ho hau web.config faele:

<system.webServer>
  <httpProtocol>
    <customHeaders>
      <add name="Content-Security-Policy" value="frame-ancestors 'self' yourdomain.com" />
    </customHeaders>
  </httpProtocol>
</system.webServer>

Wordpress - etsa sena ka ho kenyelletsa khoutu ena faeleng ea hau ea function.php:

function add_security_headers() {
  header('X-Frame-Options: SAMEORIGIN');
  header("Content-Security-Policy: frame-ancestors 'self' yourdomain.com");
}
add_action('send_headers', 'add_security_headers');

Litlhophiso tsena li tla lumella leqephe la hau hore le kenngoe ka har'a li-iframe sebakeng seo u se boletseng hantle, eseng ho li-domain tse nyane. Haeba u batla ho lumella li-subdomain tse itseng, u tla tlameha ho li thathamisa ka ho hlaka, joalo ka subdomain1.yourdomain.com subdomain2.yourdomain.com, joalo joalo.

Lumella ho Eketsa Litaba tsa Hao ho tsoa ho Mecha e mengata

O ka hlakisa libaka tse ngata ka sehlooho sa karabelo ea Content-Security-Policy HTTP le taelo ea balimo. Sebaka se lokela ho arola sebaka se seng le se seng. Mohlala ke ona:

Content-Security-Policy: frame-ancestors 'self' domain1.com domain2.com domain3.com;

Apache - Fetola ea hau .htaccess faele ka tsela e latelang:

Header always set X-Frame-Options SAMEORIGINHeader always set Content-Security-Policy "frame-ancestors 'self' domain1.com domain2.com domain3.com"

Nginx - Fetola sebaka sa hau sa seva ka tsela e latelang:

add_header X-Frame-Options SAMEORIGIN;add_header Content-Security-Policy "frame-ancestors 'self' domain1.com domain2.com domain3.com";

IIS - etsa sena ka ho eketsa tse latelang ho hau web.config faele:

<system.webServer>
  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
      <add name="Content-Security-Policy" value="frame-ancestors 'self' domain1.com domain2.com domain3.com" />
    </customHeaders>
  </httpProtocol>
</system.webServer>

Lumella ho Ikahanya Litaba tsa Hau ho tsoa ho Wildcard Domain

U ka boela ua hlakisa karete ea hlaha bakeng sa li-subdomains tsohle tse nang le Content-Security-Policy Sehlooho sa karabo ea HTTP le taelo ea li-frame-ancestors. Mona ke mehlala ea Content-Security-Policy khoutu e lokelang ho ntlafatsoa:

Content-Security-Policy: frame-ancestors 'self' *.yourdomain.com;

Apache - Fetola ea hau .htaccess faele ka tsela e latelang:

Header always set Content-Security-Policy "frame-ancestors 'self' *.yourdomain.com"

Nginx - Fetola sebaka sa hau sa seva ka tsela e latelang:

add_header Content-Security-Policy "frame-ancestors 'self' *.domain1.com *.domain2.com *.domain3.com";

IIS - etsa sena ka ho eketsa tse latelang ho hau web.config faele:

<system.webServer>
  <httpProtocol>
    <customHeaders>
      <add name="Content-Security-Policy" value="frame-ancestors 'self' *.yourdomain.com" />
    </customHeaders>
  </httpProtocol>
</system.webServer>

Douglas Karr

Douglas Karr ke CMO ea Bula LITLHAKISO le mothehi oa Martech Zone. Douglas o thusitse batho ba bangata ba atlehileng ho qala ka MarTech, o thusitse boitelong bo nepahetseng ba chelete e fetang $5 bilione ho reka le matsete a Martech, mme o ntse a tsoela pele ho thusa lik'hamphani ho kenya ts'ebetsong le ho iketsetsa maano a bona a ho rekisa le ho bapatsa. Douglas ke setsebi le sebui sa MarTech se tsebahalang lefatšeng ka bophara. Douglas hape ke sengoli se hatisitsoeng sa tataiso ea Dummie le buka ea boetapele ba khoebo.

Related Articles

Konopo ea holimo
Close

Adblock e fumanwe

Martech Zone e khona ho u fa litaba tsena ntle ho tefo hobane re etsa chelete sebakeng sa rona sa marang-rang ka lekeno la lipapatso, likhokahano tsa kopanelo le lithuso tsa lichelete. Re ka thabela ha o ka tlosa se thibelang lipapatso ha u ntse u sheba sebaka sa rona sa marang-rang.