框架注入

在許多瀏覽器中，如果一個Web站點創建一個命名框架，那么相同瀏覽器進程打開的任何視窗都允許寫這個框架的內容，即使它的內容已由另一個Web站點發布。框架注入漏洞即源於上述事實，它是一種相對簡單的漏洞。

大多數最新版本的瀏覽器已經修改了與命名框架有關的行為，默認情況下，它們擴大同源策略的套用範圍：如果一個域已經發布某個框架的內容，則禁止其他Web站點寫該框架的內容。隨著用戶逐漸升級到最新的瀏覽器，這種類型的漏洞也會隨之消失。

框架注入攻擊導致Internet Explorer不檢查結果框架的目的網站，因而允許任意代碼像Javascript或者VBScript跨框架存取。這種攻擊也發生在代碼透過多框架注入，肇因於腳本並不確認來自多框架的輸入。這種其他形式的框架注入會影響所有的不確認不受信任輸入的各廠牌瀏覽器和腳本。

攻擊者有可能注入含有惡意內容的 frame 或 iframe 標記。如果用戶不夠謹慎，就有可能瀏覽該標記，卻意識不到自己會離開原始站點而進入惡意的站點。之後，攻擊者便可以誘導用戶再次登錄，然後獲取其登錄憑證。

如果框架標記使用命名框架，但框架名稱含義非常模糊或完全隨機，就可從不同的瀏覽器訪問應用程式，並檢查框架名稱是否發生變化。如果框架名稱發生變化並且攻擊者無法預測其他用戶的框架名稱，那么應用程式可能不易受到攻擊。

注入攻擊指一種攻擊手段，黑客通過把HTML代碼輸入一個輸入機制(例如缺乏有效驗證限制的表格域)來改變網頁的動態生成的內容。一個惡意黑客(也被稱為破裂者cracker)可以利用這種攻擊方法來非法獲取數據或者網路資源。當用戶進入一個有命令注入漏洞的網頁時，他們的瀏覽器會通譯那個代碼，而這樣就可能會導致惡意命令掌控該用戶的電腦和他們的網路。

命令注入攻擊最初被稱為Shell命令注入攻擊，是由挪威一名程式設計師在1997年意外發現的。第一個命令注入攻擊程式能隨意地從一個網站刪除網頁，就像從磁碟或者硬碟移除檔案一樣簡單。