开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何检测用户在iframe或直接网址中打开我的Facebook应用程序

要检测用户是否在iframe或直接网址中打开Facebook应用程序，可以使用JavaScript代码来实现。以下是一个简单的示例代码：

if (window.self !== window.top) {
  // 用户在iframe中打开应用程序
  console.log("用户在iframe中打开应用程序");
} else {
  // 用户直接在网址中打开应用程序
  console.log("用户直接在网址中打开应用程序");
}

这段代码会检查当前窗口是否与顶层窗口相同。如果不相同，说明应用程序正在iframe中打开；如果相同，说明应用程序正在直接网址中打开。

需要注意的是，这种方法可能会受到浏览器安全策略的影响，因此可能需要进行额外的处理。此外，如果应用程序需要与Facebook平台进行集成，可以使用Facebook提供的SDK来实现相关功能。

相关搜索:Android :如何检测我的应用程序类是通过用户点击还是在后台自己打开的在我的Cordova Android应用程序中，我无法在IFRAME中嵌入ip地址或URL 在我的应用程序中显示用户状态(在线或离线)如何从我的安卓应用程序在WhatsApp中打开群组如何使用服务或MediaPlayer在我的应用程序中播放bgm？如何允许用户在iOS上打开应用程序的情况下切换到深色或浅色模式？如何允许用户直接下载存储在django中我的媒体文件夹中的文件？如何检查网址是否在我的ASP.NET应用程序中？如何检测传入的voip呼叫(例如，在我的应用程序中如何检测我的应用程序是否在虚拟机中运行？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

安全研究 | Facebook中基于DOM的XSS漏洞利用分析

存在漏洞的终端节点将接收请求参数中用户可控制的内容，并使用postMessage中的发送消息来构建一个数据对象，该对象将与postMessage一起发送到已打开的窗口。...XSS漏洞的发现和利用 Facebook Canvas应用程序托管在apps.facebook.com上，如果你访问了这个域名所托管的应用程序，你将会发现Facebook会加载一个iframe中的URL...通过跟踪请求源，我发现这个页面同样加载了iframe中的https://www.facebook.com/platform/page_proxy/？...，然后重定向到存在漏洞的页面中，并执行alert(1)，而我设置的PoC将会窃取用户的访问令牌，这个令牌将直接允许我们接管目标Facebook账号。...的检测。

6671 0

Facebook OAuth框架漏洞

该漏洞可能使攻击者劫持OAuth流并窃取他们可以用来接管用户帐户的访问令牌。恶意网站可以同时窃取最常见应用程序的access_token，并且可以访问多种服务的第三方网站。...在后台，SDK在初始化时会创建用于跨域通信的代理iframe。代理帧通过postMessage()API 发送回令牌，代码或未经授权的未知状态。...这是正常的登录流程网址， https://www.facebook.com/connect/ping?...您可能知道Facebook对此类关键问题的反应。在"/connect/ping endpoint"已被弃用。它已被永久吊销，以为所有应用程序生成access_token。...在XD_Arbiter中添加了__d（“ JSSDKConfig”）行，以中断page_proxy中的JS执行。

2.2K2 0

检测本地文件躲避安全分析

//www.brokenbrowser.com/detecting-local-files-to-evade-analysts/ 译者：WisFree 前言上个月，我们一直都在尝试弄清楚攻击者到底是如何通过检测目标系统中应用程序的相关...如果目标计算机中安装了反病毒工具的话，恶意软件将拒绝下载恶意代码。这样一来，攻击者不仅可以保证恶意软件不会被检测工具所检测到，而且还可以在目标主机中潜伏很长的时间。...比如说，当我们在浏览器地址栏中输入网址“http://invalidsite ”之后，IE浏览器就会将如下图所示的页面显示给我们： ?...为了进行简单的演示，我们在Resource Hacker中打开并查看dnserror.htm的内容，具体如下图所示： ?...我在这里要跟大家分享一个小秘诀：当你在研究的过程中，最好使用window.open方法来修改iframe的location，尽量不要使用iframe.location。

1.3K4 0

Hijack攻击揭秘

或许当你发布状态时，已经不知情的被攻击者重定向到了其他恶意的页面。常见的Clickjacking攻击手法通过Flash打开受害者的摄像头或麦克风诱使用户在不知情的情况下粉某人（- -！...外国也流行刷粉啊）控制用户分享恶意链接诱使用户点击某链接（点击查看，苍老师.avi） Likejacking 这是一种在Facebook上被广泛利用的攻击手法，它诱使用户点击一个指向外部的链接...最简单的方法是，直接覆盖一层透明的，iframe在目标网站上，iframe中可以包含一个按钮或者链接。...这时候我可以给我的wordpress装上一个劫持插件（节操何在），这样每一个在我wordpress网站上点击的用户，都会给我刷一个赞。 ? ?...下面我们看看如何来挖掘Clickjacking这种漏洞。第一步我们要找把用户输入转化为iFrame输出的点。你可以上传（或者是被包含）一个如下的html文件，然后在页面中查找关键字。

1.8K9 0

XSS平台模块拓展 | 内附42个js脚本源码

17.浏览器指纹基于计算机显示器的图像呈现功能，为注入的浏览器生成独特的指纹。对于定位特定用户或设备非常有用… 18.iFrame CSRF令牌盗窃通过嵌套的iFrames窃取CSRF令牌。...第一个iFrame获取CSRF保护的页面，在第一个表单的“token”参数中窃取标记值，并创建第二个iFrame，并与相应的标记进行连接。...shell 这种极其复杂的漏洞使攻击者能够劫持在注入浏览器中加载的Web会话，并从那里浏览任何可用的Web应用程序。...无论如何值得阅读文档。 29.地理位置此脚本利用HTML5地理位置功能创建以受害者浏览器位置为中心的Google地图网址。很有趣，但需要用户授权并依靠XHR发送链接（尽管非常容易绕过）。...42.访问过浏览过的创建包含指向目标网址的锚点的不可见iFrame的代码。根据元素的样式，可以知道与URL相关的页面是否先前已访问过。

12.3K8 0

浅谈一下mshta在CVE-2017-11882里的命令构造

如果要用43个字节来完成一个文件的下载执行，在我所掌握的命令行知识里，除了mshta命令，其它的好像都做不到。...所以在这里我就浅谈一下如何构造这个mshta命令，另外提一下hta文件在安全方面的一个应用。 mshta.exe是微软Windows操作系统相关程序，用于执行.HTA文件。...HTA是HTML Application的缩写（HTML应用程序），是软件开发的新概念，直接将HTML保存成HTA的格式，就是一个独立的应用软件，与VB、C++等程序语言所设计的软件界面没什么差别。...如果我们用HTA文件来iframe这个1.htm，hta是本地用户权限，应当可以绕过此限制，如何绕呢？我们就要用到 iframe的一个参数了application=”yes”了。...如果是利用CVE-2017-11882.py，哪么直接执行下边命令就生成了，其中http://site.com/1.xml你可以换成短网址。 ? 下图是我做的测试图。 ?

1.4K8 0

一个关于Facebook用户个人和好友隐私信息泄露的漏洞

前言大家好，在我的上一篇文章中，我分享了Chrome浏览器中存在的一个Facebook用户信息泄露漏洞，此后，在接下来的研究中，我又发现了另外一个关于Facebook的漏洞，利用该漏洞，可允许其它网站提取出...漏洞发现在之前对Chrome浏览器的研究过程中，我认真浏览了Facebook的一些在线搜索结果，我注意到，在其每个在线搜索结果的HTML里，都会包含一个iframe元素，这个iframe元素很可能是Facebook...Facebook受害者用户去打开我们的构造的恶意网站，让他点击网站上的任何地方，这种地方可以嵌入一些JavaScript脚本进行迷惑，之后，用构造成型跳出的Facebook搜索页面弹出窗或新标签，引诱用户执行我们想要的任何搜索查询结果...比如，针对英文版Facebook的图谱搜索场景，在漏洞利用中，我用“pages I like named Imperva”搜索一些目标Facebook受害者用户赞过的主页用户，通过伪造带有迷惑性质的POC...的窗口位置属性，所以，无需打开新的弹出窗口或标签即可重复构造搜索过程： ?

8374 0

常见六大 Web 安全攻防解析

举个例子，对于评论功能来说，就得防范持久型 XSS 攻击，因为我可以在评论中输入以下内容 ?...这种方法相比Referer检查要安全很多，token可以在用户登陆后产生并放于session或cookie中，然后在每次请求时服务器把token从session或cookie中拿出，与本次请求中的token...4) 验证码 应用程序和用户进行交互过程中，特别是账户交易这种核心步骤，强制用户输入验证码，才能完成最终请求。在通常情况下，验证码够很好地遏制CSRF攻击。...攻击者将需要攻击的网站通过 iframe 嵌套的方式嵌入自己的网页中，并将 iframe 设置为透明，在页面中透出一个按钮诱导用户点击。 1....点击劫持的原理用户在登陆 A 网站的系统后，被攻击者诱惑打开第三方网站，而第三方网站通过 iframe 引入了 A 网站的页面内容，用户在第三方网站中点击某个按钮（被装饰的按钮），实际上是点击了 A

7044 0

看我如何窃取Messenger.com用户登录认证随机数并获得15000美元漏洞赏金

Facebook登录状态，则可以直接以Facebook身份登录messenger.com。...研究如何窃取用户安全随机数初步分析在此类基于随机数认证登录的情况中，一般会存在一个参数使用户从当前网站重定向到另一个已添加登录应用的网站，所以，我首先从这里入手检查它的安全严谨性。...，使用户完成从Messenger到Facebook跳转，在此过程中，其重定向区域（/login/fb_iframe_target/）不允许更改或添加任何字符串请求，但是，经测试发现，可以在登录链接中添加一个...修复措施 Facebook首先的修复措施是在重定向URL中阻断了#符号的加入，但是，这种方式可以通过以下链接被绕过： https://www.facebook.com/login/messenger_dot_com_iframe...通常，为了防止这种情况，网站可以设置自己的重定向hash（#），如：漏洞报送进程我是2月26号星期天向Facebook安全报送了这个漏洞的，星期一大早，Facebook在确认了这个漏洞之后的两小时就开始进行修复

2.3K5 0

面试中常见的的 web 安全问题

HTTP/Headers/Content-Security-Policy 3 CSRF CSRF 全称是跨站请求伪造( Cross Site Request Forgery) 本质上，说白了就是借用用户的身份或权限偷偷的完成某些操作...攻击方式就是在某些操作的按钮上加一层透明的iframe。点击一下，就入坑了。「如何防御点击劫持」常用的两种方式： 1....SAMEORIGIN，表示页面可以在相同域名下通过 iframe 的方式展示。 ALLOW-FROM，表示页面可以在指定来源的 iframe 中展示。...UGC 网站 Po 了其恶意网址，该 UGC 网站用户在新窗口打开页面时，恶意网站利用该漏洞将原 UGC 网站跳转到伪造的钓鱼页面，用户返回到原窗口时可能会忽视浏览器 URL 已发生了变化，伪造页面即可进一步进行钓鱼或其他恶意行为...外跳的地址a> 缺点: 为禁止了跳转带上 referrer，目标网址没办法检测来源地址。

7481 0

自动化-Appium-环境搭建-IOS（Java版）

Xcode具有统一的用户界面设计，编码、测试、调试都在一个简单的窗口内完成。 Xcode如何下载安装或更新呢？...2、允许用户从npm服务器下载并安装别人编写的命令行程序到本地使用。 3、允许用户将自己编写的包或命令行程序上传到npm服务器供别人使用。在Mac环境下可以用命令行或者应用程序安装Node.js。...Appium Server是在命令行或终端以命令安装，安装完成后直接输入命令来启动Appium服务。...已经安装完成，直接打开终端输入命令进行安装（由于国内网络问题，安装过程中可能需要FANQIANG）。...在Mac环境下，直接打开终端输入命令进行安装 npm install -g appium-doctor 安装完成后，在终端执行appium-doctor --ios，会检测Appium的IOS基础环境是否正确

5.5K3 0

简单方法检测远端用户的反病毒软件

我常使用的操作系统是 Windows7，为了确保更安全，我安装了卡巴斯基互联网安全防病毒软件。一天我在一个 Web 页面上看到了一段非常有趣的代码，在我看来它不该出现在页面上。...为什么 Facebook 会使用卡巴斯基网站的 js 代码？我立刻意识到是我的反病毒软件做了 MITM，在网页上注入代码来跟踪页面的活动。...在客户端计算机上存在任何的反病毒软件的话，包括 KIS，为什么不创建一个特殊的页面来监视 Javascript 的代码呢？创建服务器的第一个页面 iframe.html <!...iframe.html 并注入 js 代码，在这个图片中我们可以看到更改的 iframe 页代码 KIS 反病毒软件需要从 iframe.html 中读取代码并分析字符串，如果页面有 kasperskylab_antibanner...这种方法并不能保证百分之百检出反病毒软件，因为用户可以禁用安装的 Chrome 扩展。 2. 这篇文章的灵感主要来自于远程检测用户反病毒软件。 3. 相关代码可以在 GitHub 上找到。

1.1K10 0

熟悉面试中常见的的 web 安全问题

HTTP/Headers/Content-Security-Policy 3 CSRF CSRF 全称是跨站请求伪造( Cross Site Request Forgery) 本质上，说白了就是借用用户的身份或权限偷偷的完成某些操作...攻击方式就是在某些操作的按钮上加一层透明的iframe。点击一下，就入坑了。「如何防御点击劫持」常用的两种方式： 1....SAMEORIGIN，表示页面可以在相同域名下通过 iframe 的方式展示。 ALLOW-FROM，表示页面可以在指定来源的 iframe 中展示。...UGC 网站 Po 了其恶意网址，该 UGC 网站用户在新窗口打开页面时，恶意网站利用该漏洞将原 UGC 网站跳转到伪造的钓鱼页面，用户返回到原窗口时可能会忽视浏览器 URL 已发生了变化，伪造页面即可进一步进行钓鱼或其他恶意行为...外跳的地址a> 缺点: 为禁止了跳转带上 referrer，目标网址没办法检测来源地址。

7091 0

学习记录03（网页挂马）

网页挂马将木马程序上传到网站，使用木马生成器生成一个网马，放到网页空间，在添加代码使木马在网页打开时运行 1.常见的几种方式将木马伪装成页面元素，木马被浏览器自动加载到本地利用脚本运行的漏洞下载木马...或和缺失的组件绑在一起（flash播放插件等）通过脚本运行调用某些com组件，利用其漏洞下载木马在渲染页面内容的过程中利用格式溢出释放木马（ani格式溢出漏洞等）在渲染页面内容的过程中利用格式溢出下载木马...html文件来举个例子，通常情况下将2中代码放到任何位置都可：例如：当使用代码时，在这个例子里也是图片伪装挂马：我们可以看到，在我们访问原网址时会出现我指的百度页面...=0 height=0>")前者写在html文件中，后者写在js文件中演示一下：在html文件的标签里加入...欺骗调用利用一个假的链接地址诱骗用户点击或查看，以达到跳转页面加载木马的作用例如 <a href="http://www.4399.com/" onMouseOver="tofalse_com()

2.2K1 0

Facebook系统HTML转PDF文档可能引起的RCE漏洞

token= 打开以上URL页面后，其中包括需由用户输入的姓名、地址、电邮、职业等区域。如果我尝试向这些区域中注入HTML代码后，会发现其Web应用会对所有的文本执行HTML编码。...脚本不在“HTML至PDF转化器”的内部解析范围，因此，我想到了用 “file://” 这种IFRAME中的URL格式，来尝试读取本地文件；然后，我通过转化后的PDF文档中的IFRAME元素扫描查看到了...因为我对ASP.NET不熟，但我当时猜想，是否Web应用打开IE中的HTML页面用到了某种Windows API接口？...有了以上三种实现RCE的方法后，最后一步就是如何来执行攻击了，恰巧，我发现该Web应用系统中存在我之前公布的一个Facebook电子邮件伪造漏洞，那么两者结合就能形成最大程度威力了。...以legal_noreply@fb.com伪造发送电子邮件漏洞该漏洞在于，可以用Facebook官方的无需回复邮箱legal_noreply@fb.com，以Facebook雇员或合作伙伴身份，伪造电邮正文并发送给任意用户邮箱地址

1.4K1 0

Cookie-Stuffing

但是，如果所提供的URL在最后没有像“.jpg”，“.gif”或“.png”这样的扩展名。...例如，实际上会让访问该页面的任何人访问liaobu.de这个网址。aff链接可以直接放入，也可以在.htaccess中创建重定向。...; fwrite(stream, 二、Frames and iframes iframe是一种在页面中嵌入页面的方式。...使用一行简单的代码嵌入网页。联盟会员将iframe嵌入到加载其联属网址的网页上。Frames以类似的方式工作。这种技术不再流行，因为现代浏览器中的框架已被弃用。...会员可以将直接联属网址作为图像放入样式表中，并以此方式加载。这是一种难以检测的方法。

1.3K3 0

自动化-Appium-环境搭建-IOS（Python版）

Xcode具有统一的用户界面设计，编码、测试、调试都在一个简单的窗口内完成。 Xcode如何下载安装或更新呢？...2、允许用户从npm服务器下载并安装别人编写的命令行程序到本地使用。 3、允许用户将自己编写的包或命令行程序上传到npm服务器供别人使用。在Mac环境下可以用命令行或者应用程序安装Node.js。...Appium Server是在命令行或终端以命令安装，安装完成后直接输入命令来启动Appium服务。...已经安装完成，直接打开终端输入命令进行安装（由于国内网络问题，安装过程中可能需要FANQIANG）。...在Mac环境下，直接打开终端输入命令进行安装 npm install -g appium-doctor 安装完成后，在终端执行appium-doctor --ios，会检测Appium的IOS基础环境是否正确

5K3 1

【HTTP劫持和DNS劫持】腾讯的实际业务分析

访问该服务器会一致性的返回302，让用户浏览器跳转到预处理好的带广告的网页，在该网页中再通过iframe打开用户原来访问的地址。...后续做法往往分为2种，1种是类似DNS劫持返回302让用户浏览器跳转到另外的地址，还有1种是在服务器返回的HTML数据中插入js或dom节点（广告）。 ...在用户角度，这些劫持的表现分为： 1、网址被无辜跳转，多了推广尾巴； 2、页面出现额外的广告（iframe模式或者直接同页面插入了dom节点）。 ...在iframe中的网页能正常打开，而不是又被拦截加iframe，可能是因为请求的url上或cookie上运营商做了标记。我们可以利用这个规则，躲过劫持。 ...各种劫持的手段都有：　　1、直接返回一个带广告的HTML；　　2、在原html中插入js，再通过js脚本安插广告；　　3、iframe展示原来正常网页。各种丑恶的嘴脸都被记录在案： ? ?

2.1K4 0

WebGoat靶场系列---AJAX Security(Ajax安全性)

依次向URL框框中输入以下网址(也可以直接点击下方链接),观察发现,只能访问同一数据资源,非同源访问失败。 ?....它允许动态修改网页的内容,但在恶意代码注入期间,攻击者可能会滥用这些内容.XSS是一种恶意代码注入类型,当未经验证的用户输入直接用于修改客户端页面的内容时,可能会发生这种情况。...1.第一阶段,查找大BOSS,Neville Bartholomew的工资,按F12,打开网页调试,经过好一番寻找,终于在选择用户的下拉框附近找到一个隐藏的div,如图 ?...0x03 DOM Injection(DOM注入) 原理:一些应用程序特别是使用AJAX的应用程序使用javascript，DHTML和eval()方法直接操作和更新DOM.攻击者可以通过截取回复并尝试注入一些...目标:在两个航班A(无停靠,价格昂贵)和B(有停靠,价格便宜)中,获取到一个没有停靠,但是价格便宜的航班。首先,打开浏览器调试工具,定位到目标位置,将数值改小即可 ? ?

2.5K2 0

web之攻与受（劫持与注入篇）

攻击者将需要攻击的网站通过 iframe 嵌套的方式嵌入自己的网页中，并将 iframe 设置为透明，在页面中透出一个按钮诱导用户点击。这是一种比较low的手段，却屡试不爽。...就是在小姐姐图片上加一层透明的iframe，把透明通道打开后，就看到这个隐藏的内容了 ? 小姐姐最新动态的fake按钮将和黑客想要你点击的按钮重合。...，其结果就是让正确的网址不能解析或被解析指向另一网站IP，实现获取用户资料或者破坏原有网站正常服务的目的。...HTTP劫持：在用户浏览器与访问的目的服务器之间所建立的网络数据传输通道中从网关或防火墙层上监视特定数据信息，当满足一定的条件时，就会在正常的数据包中插入或修改成为攻击者设计的网络数据包（比如js文件）...具体来说，它是利用现有应用程序，将（恶意的）SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL

1.4K1 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭