X-Frame-Options头未设置 防止页面被iframe内框架调用

描述: 目标服务器没有返回一个X-Frame-Options头。X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。解决方案:修改web服务器配置,添加X-frame-options响应头。赋值有如下三种:(1)DENY:不能被嵌入到任何iframe或frame中。 (2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。 (3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。也可在代码中加入,在PHP中加入:header('X-Frame-Options: deny');防止某些重要网页被其他网站框架导入,可以给页面增加X-Frame-Options响应头,这样浏览器会依据X-Frame-Options的值来控制iframe框架的页面是否允许加载显示出来,IE下的效果如下(此内容无法再框架中显示。为了帮助保护在此网站中输入的信息安全,此内容的发行者不允许在框架中显示该信息),其他非IE核心浏览器会显示空白内容。动态页添加X-Frame-Options响应头示例代码asp?123<%response.AddHeader "X-Frame-Options","Deny"%>Asp.Net?1Response.AddHeader("X-Frame-Options", "Deny");PHP?1header('X-Frame-Options:Deny');如果确认你整个网站都不能被框架,可以直接设置web服务器,增加X-Frame-Options响应头。IIS如下图所示,增加http头X-Frame-Options响应头可用值有DENY:浏览器拒绝当前页面加载任何Frame页面SAMEORIGIN:frame页面的地址只能为同源域名下的页面ALLOW-FROM:origin为允许frame加载的页面地址浏览器对X-Frame-Options响应头的支持如下浏览器版本支持IE8.0+Firefox3.6.9+Opera10.50+Safari4.0+Chrome4.1.249.1024+

X-Frame-Options头未设置 防止页面被iframe内框架调用

快视频偷取B站账号?数据疑泄露 快视频:造谣已报警

过年假期快结束了,总有些事儿不让媒体人踏实休息。去年年底时候,360 公布了一个旗下的视频app,叫做快视频。360 给这款产品的定位是“超短超有料,质在一分钟”。熟悉互联网圈的都知道,360 擅长抢注,之前就抢注过“旗舰机”的商标。而在短视频app 上,快视频几乎完全照搬了快播的配色和风格,以至于当时网络上一众评论都是:咦,快播复活了?是蹭热点还是搞抄袭先不说,毕竟在国内想要界定抄袭维权这事儿也真是挺难。但今儿曝光出来的事情,确实让很多视频app 用户都有点糟心。今天凌晨,微博网友@爬丝的万事屋发布微博称,B站数据库疑似泄露,大部分人在B站绑定的手机号和密码能直接登录360的快视频。这哥们儿说,根据可靠消息来源,在今日凌晨2点左右,有大量的B站观众发现,可以直接使用B站的账号密码登录360快视频。截止4点39分,已经发现有不下几十例,受影响的用户多为B站UID为1500000之后的ID。另外,爬丝的万事屋还表示,快视频此前利用机器人大量把其他作者原创发布的视频扒到其平台上,同时鼓励用户将B站UP主的原创视频盗传。随后B 站官方做出了回应,说收到用户反馈,投诉某视频App上存在大量未经授权盗取B站UP主稿件的行为,甚至连UP主的ID、头像都被盗用。与以往案例相比,此次侵权事件规模更大,情节更严重。B 站会采取行动,尽最大力量帮助广大UP主维护自身权益。本着不能光看不试的原则,我下载了快视频app,拿着我刚注册不久的B 站账号密码登录,结果不出所料,我直接登录上的快视频。好在我自己的B 站账号是最近一个月才开始密集上传一些Vlog 视频,我自己的视频内容估计体量不够,还没有被盗搬到快视频上。但显然不是所有的B 站账号都像我一样幸运,快视频为了扩充自己的内容,非常有针对性的在毫无授权的情况下搬运了一些视频制作者的内容。这其中就包括刚刚在微博上艾特了周鸿祎的友媒:爱范儿。看事情越吵越激烈。360 快视频在微博上做了个号称是“严正声明”的回应,回应如下:近期,网络上有部分博主发布快视频对B站数据库脱库、获取用户个人隐私,这是严重的造谣行为。快视频特此严正声明:快视频绝不存在数据库脱库、获取用户个人隐私的任何行为。部分博主传播的此类恶意诽谤、造谣传谣的言论,严重损害了快视频的声誉。快视频已对上述造谣行为进行报警处理,并将追究相应法律责任。这个回应怎么看着那么眼熟呢?好像前段时间水滴直播曝光出色情直播的内容时候,水滴直播给出的口径也是这样的,总结起来就8 个字:恶意抹黑,技术无罪。今天中午,快视频也在官方微博做出回应,声称这是严重造谣行为,已经报警。快视频微博称:“近期,网络上有部分博主发布快视频对B站数据库脱库、获取用户个人隐私,这是严重的造谣行为。快视频特此严正声明:快视频绝不存在数据库脱库、获取用户个人隐私的任何行为。部分博主传播的此类恶意诽谤、造谣传谣的言论,严重损害了快视频的声誉。快视频已对上述造谣行为进行报警处理,并将追究相应法律责任。”但最根本的问题是,快视频的这次回应并没有解释为什么那么多B 站账号可以直接登录快视频。期待下快视频的下一步回应,造谣俩字儿谁都会说,想要清白请把事情说明白。

快视频偷取B站账号?数据疑泄露 快视频:造谣已报警

撸猫神器 快手火起来的人猫交流器 猫语转换器 太神奇了!

    在bilibili跟快手等视频网站上无意看到有人用这款软件调戏猫咪,居然还能把自己说的话翻译成猫语。于是我也下载实验。 下面来自软件官方的简介:    这是一款另类的人与猫咪交流软件。超过25只猫175种声音,让你和你的猫咪交流变得更方便。即使是脾气最火爆、最性格乖戾的猫咪,人猫交流器也能将它打动。    先不管能不能打动,先看看这款App吧。    界面很简洁,好像是遥控器一般。中间圆点为录音,圆点两侧为切换猫咪类型,下面的4x4小按键就是各种声音了。我测试了下声音,对我加猫咪确实有反应,但是录音翻译猫语时觉得有点没效果,难道是猫听不懂人话的语法?可能吧,但也有可能是这本来就是仅供娱乐的,多次录音录同一个词,但是出来的猫语却是不同的结果,就算不说人话也可以翻译。说实话,确实是有点仅供娱乐的感觉。    但是看各视频网站用这款软件给使用者带来不少乐趣,我向这才是作者真正想给我们传达的内容吧!    以下是该应用下载链接(安卓),苹果用户请至Apple store搜索"人猫交流器"应用信息大小: 14.3M 来源: 百度手机助手点击进入下载页

撸猫神器 快手火起来的人猫交流器 猫语转换器 太神奇了!

父母"挪用"孩子5.8万压岁钱被起诉 是否合情理?

    今日有篇微博火了,引起微博热议。孩子的压岁钱到底归孩子还是家长?家长可以代为保管么?起初我看到父母"挪用"孩子5.8万压岁钱被起诉这个热词本以为是未成年小孩因压岁钱被"挪用"而被起诉,如果这样,我可能是站在家长这方的,毕竟金额过大交给小孩保管作为家长肯定不放心,但如果从小培养孩子财商,教他理财就另当别论了。    今天讲的新闻主人公不是小孩子,而是正值芳华的大学生。    云南一女大学生因父母离婚后不愿支付学费而将父母诉至法院,讨要5.8万元压岁钱交学费。     女大学生小娟的父母因感情不和,于2010年11月协议离婚,小娟由母亲抚养。离婚后双方又因对小娟的抚养及婚后财产分割等问题多次对簿公堂,导致双方间的矛盾和隔阂不断加深。     2016年7月,小娟考上了昆明某大学,但其父母因矛盾和隔阂太深,双方都不愿主动承担小娟上大学的费用,小娟为学费、生活费犯起了愁。无奈中,小娟的奶奶出面想办法凑够了第一学年的学费,小娟才得以顺利进入大学报到。后小娟在奶奶的支持下,以要求父母返还压岁钱交纳大学学费为由向安宁市法院提起诉讼。     安宁市法院受理案件后,承办法官了解到小娟父母将双方多年来的矛盾和隔阂转移为不愿意支付孩子的学费,导致小娟不得已以要求返还压岁钱为由让父母为其支付学费和生活费的事实。据此,认为“一判了之”并不能尽快解决小娟的燃眉之急,也无助于修复已经破裂的父女、母女亲情,遂确定了“释法析理,尽力调解、疏导”的办案策略。     经法官调解,小娟父母最终同意每月定期向小娟支付大学期间的学费及生活费共计1500元,直至小娟大学毕业。

父母"挪用"孩子5.8万压岁钱被起诉 是否合情理?

支付宝 微信 QQ多合一收款码二维码制作及源码

    几年前在买东西消费还少不了现金,现在移动支付已经遍地开花,就连路边摊都会贴个微信或支付宝收款码了,但是某些商店居然用一个二维码实现多种支付软件付款,是不是觉得很神奇?其实我们也能简单实现下(以下来自网络收集整理):  1、你要先有一个域名和空间,无论免费收费皆可,PHP的即可  2、或许收款码网址:打开自己的支付宝,微信,QQ,找到收款码然后保存下来。    如何获取微信收款码?打开微信,点击右上角的【+】号,再点击收付款,然后点击“我要收款”,最后保存收款码或截图即可。    如何获取支付宝收款码?打开支付宝,在其首页点击一下【收钱】,直接点击保存图片即可。    如何获取QQ收款码?打开手机QQ,在其主界面点击右上角的【+】号,再点击付款,然后点击右上角的【...】选择【我要收款】,截图收款码保存到相册即可。  3、打开二维码识别工具 点击进入在线工具上传收款码图片之后得到各收款二维码网址备用源码部分:多合一收款码其实原理很简单,通过判断扫描方的软件UA跳转到不同网址而已。可以点击此处查看软件UA根据UA不同跳转到不同网址,但是有个小问题,腾讯QQ、微信跳转后并不会直接付款,所以只能通过间接方式,跳转到收款码图片页面,然后长按收款码执行付款操作。下面直接上PHP代码header('HTTP/1.1 301 Moved Permanently');if(strstr($_SERVER['HTTP_USER_AGENT'], 'QQ/')){header('Location: QQ收款码图片页');}else if(strstr($_SERVER['HTTP_USER_AGENT'], 'Alipay')){header('Location: 此处输入支付宝二维码所识别的链接'); }else if(strstr($_SERVER['HTTP_USER_AGENT'], 'MicroMessenger/')){header('Location: 微信收款码图片页');}另外还附赠一份现成的HTML收款码源码,使用时请自行替换收款码网址,该源码来自网络点击链接进入下载源码 (密码:5voc)

支付宝 微信 QQ多合一收款码二维码制作及源码