求助 - 网站被恶意 iFrame, 怎么破? (弹股论斤 - 当股票遇上弹幕)

2015-07-04 10:53:37 +08:00
 hr6r

我的网站最近访问比较人多, 先感谢大家的支持.

我的网站是 http://tangu.nextbang.com, 被很多人盯上了, 这两天发现这个网站 http://www.izizhucan.com/tangulunjin.html 恶意iframe, 现在不知道怎么破了, 我运维经验不多, 求大家帮助.

1, 昨天在js 里面加上了 if (window !== top) { 判断. OK了.

2, 今天发现他又加强了, 整个下载了我的前端代码, 把上面的判断去掉了. 我去...

麻烦大家帮帮忙, 这种情况怎么破?? 其他的重js webapp 是怎么应付这种问题的?

7835 次点击
所在节点    程序员
61 条回复
Qapla
2015-07-04 19:24:38 +08:00
403
TakanashiAzusa
2015-07-04 19:42:45 +08:00
@lk09364 我又试了下,你说的是对的。默认不返回 Access-Control-Allow-Origin Header的话就是不允许跨域,但是可以跨域的域名服务器文件头会返回一个 Access-Control-Allow-Origin Header,然后浏览器做判断。
wheatcuican
2015-07-04 21:42:48 +08:00
一直载入中。。。
sciooga
2015-07-04 22:41:08 +08:00

那个网站挂出了楼主的链接,然后因为 referer 的问题...直接点击跳转就403了,楼主是不是考虑吸收掉他偷来的用户...
Perry
2015-07-04 23:04:18 +08:00
@sciooga 那个时楼主自己之前挂的,然后模仿者抄的时候顺便抄进去了,不过这个建议倒是真的可以
chairuosen
2015-07-04 23:07:29 +08:00
我从V2点过去都是403的,应该数据接口加referer判断 首页html不加
sciooga
2015-07-04 23:17:31 +08:00
@Perry 域名不对接口返回的弹幕全部是广告或者源站链接更漂亮...
des
2015-07-04 23:39:18 +08:00
估计对方下一步就是进行代理了……
Perry
2015-07-05 00:01:31 +08:00
有个问题 到底是 danmu 还是 tanmu。。
shiniv
2015-07-05 01:22:16 +08:00
@Perry danmu
momou
2015-07-05 01:43:49 +08:00
楼主上知乎日报了…
limtao
2015-07-05 01:44:30 +08:00
刚来这没几天 居然发现你了!而且首页发现你的po居然还被顶上了...哈哈哈哈
等过段时间大家不忙的时候出来聊聊。
上个月在IBM刚刚做完一个银行的渗透性项目,你提到的iframe攻击在术语上叫做clickjacking,
解决方案google一下特别多。我当时用的 X-Frame-Options设置成deny或者same-origin。
你这个案例我发现个人开发者的时代要来临了。加油!
我这有不少ios的项目可能要转包,到时候聊聊。哈哈哈哈哈哈哈
yylzcom
2015-07-05 08:16:35 +08:00
“网站持续被空军攻击, 请大家收藏备用网址:
http://tangu2.nextbang.com

不要脸的还真多,楼主,人家说你是做空力量,把你网址说成备用网址
你直接在页面上发一声明打他脸吧,我都看不下去了
另外又深刻地认识到“空军论”“阴谋论”受众的智商
nikubenki
2015-07-05 11:02:05 +08:00
玩儿蛋,目测以后弹幕网站会有越来越多人管这叫“檀木”了。
imlz
2015-07-05 15:27:42 +08:00
楼主,我这里建了一个玩玩,只作学习交流,我做攻(表想歪),你想想防,私下讨论可以根据我域名各种找到我联系方式
http://stock.ilz.me/
只作学习交流
imlz
2015-07-05 15:30:19 +08:00
静态文件完全可以本地,我就借用一下你的站点,主要是数据飘的保护。测试请阅读完alert框后点“取消”
simodorg
2015-07-05 16:54:40 +08:00
@imlz 部分乱码了,编码好像有些错误。
imlz
2015-07-05 17:30:40 +08:00
@simodorg 应该是未强制设置utf8,麻烦测试时手动改一下把
hr6r
2015-07-06 03:46:44 +08:00
@imlz 求老司机带路, 我已筋疲力尽.
jugelizi
2015-07-06 13:11:18 +08:00
post才限制下来源吧

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/203252

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX