求助 - 网站被恶意 iFrame, 怎么破? (弹股论斤 - 当股票遇上弹幕)

2015-07-04 10:53:37 +08:00
 hr6r

我的网站最近访问比较人多, 先感谢大家的支持.

我的网站是 http://tangu.nextbang.com, 被很多人盯上了, 这两天发现这个网站 http://www.izizhucan.com/tangulunjin.html 恶意iframe, 现在不知道怎么破了, 我运维经验不多, 求大家帮助.

1, 昨天在js 里面加上了 if (window !== top) { 判断. OK了.

2, 今天发现他又加强了, 整个下载了我的前端代码, 把上面的判断去掉了. 我去...

麻烦大家帮帮忙, 这种情况怎么破?? 其他的重js webapp 是怎么应付这种问题的?

7834 次点击
所在节点    程序员
61 条回复
imlonghao
2015-07-04 11:46:30 +08:00
HTTP头加上,x-frame-options:DENY
您可以测试一下我的博客, https://imlonghao.com/
就是不能用iframe套进去的。
hr6r
2015-07-04 11:47:20 +08:00
搞定了, 请大家围观 -> http://www.izizhucan.com/tangulunjin.html
他把我的html和 js 都下载本地run 了, 真奇葩.

看看他还能搞出啥来.

把技术用在这.. 真是.... 唉...
MountainRain
2015-07-04 11:51:20 +08:00
用JS判断
如果是自己的网页过来的应该咋地就是咋地
如果是别人iFrame的,alert提示,再跳转到你自己的页面啥。。或者显示点什么啥子的
ccbikai
2015-07-04 11:53:33 +08:00
kn007
2015-07-04 11:55:03 +08:00
@hr6r 恭喜!
你可以在本帖补充你的解决办法,留给后人搜索之,用得上。
imlonghao
2015-07-04 11:57:01 +08:00
他现在已经弹不了了~
lk09364
2015-07-04 11:57:05 +08:00
@TakanashiAzusa 请教一下,crossdomain.xml 不是 Flash 的吗?
TakanashiAzusa
2015-07-04 12:04:20 +08:00
@lk09364 那可能是我记错了。我只记得静态资源也会触发这个。待会儿我开电脑了的时候再研究下
Comdex
2015-07-04 12:24:19 +08:00
楼主你的网站的弹幕的评论只是在发表后出现一瞬间的么?不保存在数据库?
CRVV
2015-07-04 12:39:04 +08:00
上证指数3686.92元?
mrjoel
2015-07-04 12:48:16 +08:00
增加一个方法。。。直接禁了他服务器ip

看他有多少ip可换
mrjoel
2015-07-04 12:48:39 +08:00
额。。。iframe 。。。说错了
bdbai
2015-07-04 15:09:22 +08:00
@typcn packed混淆的js太容易解密了,去掉eval往控制台一丢就行,最多有些带\x的字符串。
Air_Mu
2015-07-04 15:38:24 +08:00
建议人肉 全网扩散公布这婊子的信息
pythoner
2015-07-04 16:37:15 +08:00
刚刚还在网易上看到楼主的新闻,加油
Acirno
2015-07-04 17:16:41 +08:00
额 载入不了 咋回事
ddou
2015-07-04 17:34:23 +08:00
@virusdefender X-Frame-Options的确是解决iframe的正确方法。但直接下载整个前端的话,就只能另想奇招了。
SuujonH
2015-07-04 19:06:17 +08:00
403
TakanashiAzusa
2015-07-04 19:08:55 +08:00
@lk09364 刚刚试了下,ajax请求跨域的话,确实不需要crossdomain.xml,不过我发现不管是不是跨域,服务器都会返回一个200,我猜可能跨域的话服务器端的解析程序就直接断开连接了,然后浏览器提示跨域(不懂nginx,这个单纯猜测)
lk09364
2015-07-04 19:16:09 +08:00
@TakanashiAzusa 我估计是伺服器收到 AJAX 请求后回复时加上 Access-Control-Allow-Origin Header,交给浏览器判断当前页面是不是在 Access-Control-Allow-Origin 里。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/203252

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX