Seite vor "iframe" Einbindung schützen
Gast
- javascript
Hallo,
wie der Titel schon sagt will ich meine Internetseite vor iFrame Einbindung schützen. Dazu habe ich auch den Code gefunden mein Problem ist wie schütze ich meine Seite wenn sie einer über den IMG Tag einbindet?
Also <img src="http://google.de/" style="width:1px;height:1px;" />
zum Beispiel.
Gibt es dafür auch eine Lösung? Am besten mit JavaScript.
Schonmal danke im voraus. :)
Also
<img src="http://google.de/" style="width:1px;height:1px;" />
zum Beispiel.
google.de ist also deine Seite?
Gibt es dafür auch eine Lösung?
Nein, da es unmöglich ist eine "Seite" per img-Element einzubinden.
Am besten mit JavaScript.
Warum fährst du so auf JavaScript ab?
Mahlzeit Gast,
wie der Titel schon sagt will ich meine Internetseite vor iFrame Einbindung schützen.
Das kannst Du nicht. Wenn eine Ressource (z.B. ein HTML-Dokument oder die URL eines Skripts, das ein solches generiert) öffentlich abrufbar ist, dann kann jeder beliebige Browser und jedes andere beliebige Programm das auf jedem beliebigen Weg tun.
Dazu habe ich auch den Code gefunden
Das wage ich stark zu bezweifeln.
mein Problem ist wie schütze ich meine Seite wenn sie einer über den IMG Tag einbindet?
Wieso sollte jemand eine "Seite" in einem <img>-Element darstellen wollen (mal abgesehen davon, dass das vermutlich gar nicht funktionieren würde)?
Gibt es dafür auch eine Lösung? Am besten mit JavaScript.
Damit der Benutzer die Kontrolle darüber hat, ob die Lösung funktioniert? Sehr sinnvoll ...
MfG,
EKKi
mein Problem ist wie schütze ich meine Seite wenn sie einer über den IMG Tag einbindet?
Wieso sollte jemand eine "Seite" in einem <img>-Element darstellen wollen (mal abgesehen davon, dass das vermutlich gar nicht funktionieren würde)?
Natürlich funktioniert das - es wird dann natürlich kein Bild angezeigt, schon gar nicht eines der angegebenen Seite. Aber der Browser lädt die Seite herunter und erzeugt damit Load bei dem Server. Er merkt dann zwar, dass die zurückgegebene Ressource kein Bild ist, sondern ein HTML-Dokument, aber Anfrage & Antwort wurden bereits übertragen. Genauso, als ob der Benutzer die Seite normal angesurft hätte. Freilich werden weitere Bilder darin sowie Stylesheets und Scripte nicht geladen.
Wenn man einen fremden Server mit sinnlosen Anfragen beschießen will, dann eignet sich so ein img-Element auf einer hochfrequentierten Site hervorragend für Distributed Denial of Service.
Mathias
Mahlzeit molily,
mein Problem ist wie schütze ich meine Seite wenn sie einer über den IMG Tag einbindet?
Natürlich funktioniert das - es wird dann natürlich kein Bild angezeigt, schon gar nicht eines der angegebenen Seite.
Das ist *mir* klar - aber Gast ging es, wenn ich das richtig verstanden habe, um die Einbindung seiner Seite(n) bzw. um den Schutz davor ... und die kann auf diesem Wege *nicht* erfolgen - ein Schutz ist das allerdings natürlich auch nicht, da die Ressourcen trotzdem abgerufen werden (aber das werden sie in jedem Fall).
MfG,
EKKi
Wie molily richtig gesagt hat will ich meine Seite gegen das flooden schützen.
@EKKi mit dem Code den ich schon gefunden habe meinte ich einen ganz normalen iFrame Breaker in JavaScript wie zB
<script type="text/javascript"><!--
if (top!=self) {
top.location=self.location;
}
--></script>
Dieser funktioniert nur leider bei IMG nicht was mein Problem ist. :(
Mahlzeit Gast,
Wie molily richtig gesagt hat will ich meine Seite gegen das flooden schützen.
Das kannst Du nicht.
Jedenfalls nicht mit Javascript. Du kannst allerhöchstens Deinen Webserver so konfigurieren, dass Anfragen von bestimmten IP-Adressen oder z.B. Anfragen, auf die beliebige Kriterien (innerhalb der letzten x Sekunden y Anfragen nach der gleichen HTML-Datei, ohne dass die dort enthaltenen Bilder angefragt wurden) zutreffen, gar nicht erst beantwortet werden - bzw. nur mit einem HTTP-Statuscode, nicht jedoch mit der Auslieferung des gesamten HTML-Dokuments.
Alles andere ist absolut nutzlos.
@EKKi mit dem Code den ich schon gefunden habe meinte ich einen ganz normalen iFrame Breaker in JavaScript wie zB
<script type="text/javascript"><!--
if (top!=self) {
top.location=self.location;
}
--></script>
Ja und? Verhindert der in irgendeiner Weise, dass die HTML-Datei, in der er enthalten ist, abgerufen werden kann? Nein. Sinn und Zweck des Ganzen also: 0.
> Dieser funktioniert nur leider bei IMG nicht was mein Problem ist. :(
Dieser funktioniert generell nicht für das, was Du willst. Einerseits verhindert er nicht das Abrufen der Seite, andererseits verlässt er sich darauf, dass der Javascript-Code ausgeführt wird - was aber nicht immer unbedingt der Fall sein muss (wie Du selbst gesehen hast).
MfG,
EKKi
--
sh:( fo:| ch:? rl:( br:> n4:~ ie:% mo:} va:) de:] zu:) fl:{ ss:) ls:& js:|
Nunja, es wäre zumindest etwas..
Also wen meine Seite per IMG eingebunden wird lässt sich kein Code ausführen der so etwas wie einen Framebreaker bewirkt?
Also wen meine Seite per IMG eingebunden wird lässt sich kein Code ausführen der so etwas wie einen Framebreaker bewirkt?
Nein, wie auch? Wenn jemand lustig ist, kann er auch eine endlosschleife Programmieren die einfach nur HTTP-Requests "unter falschem Namen" absetzt und nichtmal auf die Antwort wartet nur um deinen Server in die Knie zu zwingen.
Die Frage ist: hast du ein ernsthaftes DoS-Problem oder ist das Spinnerei?
Wurde schon das ein oder andere mal gefloddet per eingebunden iFrame oder eben durch IMG Einbindung. Aktuell nicht aber wollte mal wissen ob man sich auch dagegen absichern kann. Das wäre die einfachste Methode und derjenige der so floodet will ja auch nicht unbedingt das seine Seite dann nicht funktioniert. :)
Mahlzeit Gast,
Wurde schon das ein oder andere mal gefloddet per eingebunden iFrame oder eben durch IMG Einbindung.
Es gibt keine technischen Lösungen für soziale Probleme.
Aktuell nicht aber wollte mal wissen ob man sich auch dagegen absichern kann.
Auf die beschriebene Art und Weise kann man die Flut etwas eindämmen. Ganz verhindern wirst Du sie jedoch nicht können. Außer Du nimmst Deinen Webserver vom Netz.
MfG,
EKKi
Mahlzeit Gast,
Also wen meine Seite per IMG eingebunden wird lässt sich kein Code ausführen der so etwas wie einen Framebreaker bewirkt?
Es ist *immer* Glückssache, ob ein derartiger "Framebreaker" funktioniert - informiere Dich über die Grundlagen der von Dir verwendeten Webtechnologien, insbesondere den Unterschied zwischen "Server-seitig" und "Client-seitig"!
MfG,
EKKi