<iframe> tag cause open redirect

Description

<script type="text/javascript">
if(window != top) {
    top.location.href = location.href;
}
</script>

<iframe src="https://www.plurk.com/k1tten_">

Safari 11.0.2: triggered
Firefox Quantum 62.0 : triggered
Chrome 68.0.3440.106: not triggered

Guide contributeur

Stack technique

javascripthtmlcss

Domaine

securityfrontend

Type d'issue

security

DifficultéDifficulté estimée pour un nouveau contributeur, de 1 pour un très petit changement à 5 pour un travail expert.

3

Temps estiméFourchette de temps approximative pour investiguer, implémenter, tester et préparer une pull request.

under 1 hour

Statut d'activitéDisponibilité apparente de l'issue : fraîche, active, ancienne, bloquée ou en attente d'un mainteneur.

stale

ClartéClarté avec laquelle l'issue explique le changement attendu, les critères d'acceptation et la prochaine étape.

clear

Prérequis

Content Security PolicyHTTP headers

Accessibilité débutantScore de 1 à 100 estimant l'accessibilité de cette issue pour un premier contributeur.

40

Direction de recherche

Investigate where HTTP headers are set in the server code (likely in app.js or server.js). Add a Content Security Policy header with the 'frame ancestors' directive set to 'none' or 'self' to prevent embedding. Also consider adding an X Frame Options header set to 'DENY' for broader browser support. Test the fix by embedding the page in an iframe and verifying no redirect occurs.