Ausbruch verhindern

ff · 31.03.2007, 09:17

Ich habe schon bei der Gefaengnisdirektion von Stein angerufen. Allerdings wollten/konnten die mir nicht helfen.

Gibt es ein "Gegen-Javascript", das den Ausbruch einer Website - wenn sie nicht den Top-Frame hat - aus einem Inline-Frame verhindert?

Danke
ff

void · 31.03.2007, 10:05

hmmm, man könnte doch versuchen, per JS JS zu deaktivieren

ff · 31.03.2007, 11:09

Ja . . . man/frau koennte vieles versuchen, ich will aber keine Gemeinheiten damit anstellen, sondern eine "Kontroll-Seite" ob diverse Seiten online sind und ordnungsgemaess funktionieren.

Damit ich nicht jede Site extra aufrufen muss, habe ich eine Seite mit vielen kleinen Inlineframes gemacht, wo jede Site (ausschnittsweise) angezeigt wird.

Ein paar dieser Sites verwenden allerdings das Ausbruchscript . . . und sind sofort "top", was meine Kontrollseite nutzlos macht.

lg
ff

void · 31.03.2007, 11:29

ist dann zwar nicht genau deine gewünschte lösung, aber wenn man tatsächlich im browser JS deaktiviert, funktioniert deine seite einwandfrei (vorausgesetzt deine seite selbst benötigt JS nicht)!

EDIT: oder du verwendest einen proxy dazwischen, welcher JS herausfiltert...

ich denke generell, dass das herausfiltern bzw. deaktivieren von JS der einzige lösungsweg ist?!

EDIT2: die frage ist, ob man domainübergreifend auf den quellcode zugreifen kann? wenn ja, kann man "einfach" location.href,... löschen. ich vermute aber stark, dass dies aus sicherheitsgründen nicht möglich sein wird...

Potassium · 31.03.2007, 11:55

Natürlich ist das möglich. Einfach die Remote-Seite per PHP einlesen, dort wie gewünscht bearbeiten und anschließend per echo wieder ausgeben.

ff · 31.03.2007, 17:39

Herzlichen Dank fuer eure Loesungsansaetze!

@void:

Also an meinen "Arbeitsbrowsern" moechte ich nicht wegen einer einzigen Kontrollseite herumkonfigurieren muessen. Ausserdem, wenn ich Javascript deaktiviere, kann ich auch die zu kontrollierenden Sites nur sehr rudimentaer checken. Wer schon einmal mit dem Ausbruchscript auf seiner Site anfaengt, legt dann meistens noch einiges an Javascript nach . . .

Aber ich werde jedenfalls einmal einen meiner Browser-Exoten, die sich so angesammelt haben auf javascriptlos umstellen und testen.

Die Idee mit dem Proxy ist auch nicht schlecht. Ob ich aber meinen Lan-squid so konfigurieren kann, dass er auf einem alternativen Port javascript herausfiltert, kann ich momentan nicht sagen.

@potassium:

Wenn es sich um einzelne statische Seiten handeln wuerde, koennte ich mir deine Loesung vorstellen. Aber geh einmal davon aus, es soll wcm.at gecheckt werden. Mit Frames und allen Drum und Dran. Ich fuerchte, dass ich dann nicht weit kommen werde.

Danke und lg
ff

Potassium · 31.03.2007, 18:22

ähm wo ist da das problem?
mit preg_replace() oder str_replace() die essentiellen teile von solchen scripts (eben das "location.href") einfach herraus filtern.

void · 31.03.2007, 18:37

die frage ist eben, wie weit der aufwand gehen soll: ein parserskript selber schreiben, proxy konfigurieren oder eben nur die kontrollseite so modifizieren, dass href=_top nicht funktioniert...

Potassium · 31.03.2007, 18:44

Is wohl alles nicht so ein arger Aufwand

void · 01.04.2007, 00:22

@JS lösung ohne ext. hilfe:
ein JS event bei body onunload ist ja nicht das problem, nur was macht man dann? wie stoppt man das weiterleiten?!

31.03.2007, 09:17	#1
ff Veteran Registriert seit: 13.11.1999 Beiträge: 466	Ausbruch verhindern Ich habe schon bei der Gefaengnisdirektion von Stein angerufen. Allerdings wollten/konnten die mir nicht helfen. Gibt es ein "Gegen-Javascript", das den Ausbruch einer Website - wenn sie nicht den Top-Frame hat - aus einem Inline-Frame verhindert? Danke ff

31.03.2007, 10:05	#2
void Hero Registriert seit: 26.07.2001 Ort: Wien Beiträge: 811	hmmm, man könnte doch versuchen, per JS JS zu deaktivieren ____________________________________ nobody is perfect

31.03.2007, 11:29	#4
void Hero Registriert seit: 26.07.2001 Ort: Wien Beiträge: 811	ist dann zwar nicht genau deine gewünschte lösung, aber wenn man tatsächlich im browser JS deaktiviert, funktioniert deine seite einwandfrei (vorausgesetzt deine seite selbst benötigt JS nicht)! EDIT: oder du verwendest einen proxy dazwischen, welcher JS herausfiltert... ich denke generell, dass das herausfiltern bzw. deaktivieren von JS der einzige lösungsweg ist?! EDIT2: die frage ist, ob man domainübergreifend auf den quellcode zugreifen kann? wenn ja, kann man "einfach" location.href,... löschen. ich vermute aber stark, dass dies aus sicherheitsgründen nicht möglich sein wird... ____________________________________ nobody is perfect

31.03.2007, 18:37	#8
void Hero Registriert seit: 26.07.2001 Ort: Wien Beiträge: 811	die frage ist eben, wie weit der aufwand gehen soll: ein parserskript selber schreiben, proxy konfigurieren oder eben nur die kontrollseite so modifizieren, dass href=_top nicht funktioniert... ____________________________________ nobody is perfect

01.04.2007, 00:22	#10
void Hero Registriert seit: 26.07.2001 Ort: Wien Beiträge: 811	@JS lösung ohne ext. hilfe: ein JS event bei body onunload ist ja nicht das problem, nur was macht man dann? wie stoppt man das weiterleiten?! ____________________________________ nobody is perfect

31.03.2007, 11:09	#3
ff Veteran Registriert seit: 13.11.1999 Beiträge: 466	Ja . . . man/frau koennte vieles versuchen, ich will aber keine Gemeinheiten damit anstellen, sondern eine "Kontroll-Seite" ob diverse Seiten online sind und ordnungsgemaess funktionieren. Damit ich nicht jede Site extra aufrufen muss, habe ich eine Seite mit vielen kleinen Inlineframes gemacht, wo jede Site (ausschnittsweise) angezeigt wird. Ein paar dieser Sites verwenden allerdings das Ausbruchscript . . . und sind sofort "top", was meine Kontrollseite nutzlos macht. lg ff

31.03.2007, 11:55	#5
Potassium Inventar Registriert seit: 06.03.2003 Alter: 37 Beiträge: 3.954 Mein Computer	Natürlich ist das möglich. Einfach die Remote-Seite per PHP einlesen, dort wie gewünscht bearbeiten und anschließend per echo wieder ausgeben.

31.03.2007, 17:39	#6
ff Veteran Registriert seit: 13.11.1999 Beiträge: 466	Herzlichen Dank fuer eure Loesungsansaetze! @void: Also an meinen "Arbeitsbrowsern" moechte ich nicht wegen einer einzigen Kontrollseite herumkonfigurieren muessen. Ausserdem, wenn ich Javascript deaktiviere, kann ich auch die zu kontrollierenden Sites nur sehr rudimentaer checken. Wer schon einmal mit dem Ausbruchscript auf seiner Site anfaengt, legt dann meistens noch einiges an Javascript nach . . . Aber ich werde jedenfalls einmal einen meiner Browser-Exoten, die sich so angesammelt haben auf javascriptlos umstellen und testen. Die Idee mit dem Proxy ist auch nicht schlecht. Ob ich aber meinen Lan-squid so konfigurieren kann, dass er auf einem alternativen Port javascript herausfiltert, kann ich momentan nicht sagen. @potassium: Wenn es sich um einzelne statische Seiten handeln wuerde, koennte ich mir deine Loesung vorstellen. Aber geh einmal davon aus, es soll wcm.at gecheckt werden. Mit Frames und allen Drum und Dran. Ich fuerchte, dass ich dann nicht weit kommen werde. Danke und lg ff

31.03.2007, 18:22	#7
Potassium Inventar Registriert seit: 06.03.2003 Alter: 37 Beiträge: 3.954 Mein Computer	ähm wo ist da das problem? mit preg_replace() oder str_replace() die essentiellen teile von solchen scripts (eben das "location.href") einfach herraus filtern.

31.03.2007, 18:44	#9
Potassium Inventar Registriert seit: 06.03.2003 Alter: 37 Beiträge: 3.954 Mein Computer	Is wohl alles nicht so ein arger Aufwand

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)