链接或框架注入漏洞原理以及修复方法

漏洞名称：框架注入、链接注入

漏洞描述 ：一个框架注入攻击是一个所有基于GUI的浏览器攻击，它包括任何代码如JavaScript，
VBScript(ActivX),Flash,AJAX(html+js+py)。代码被注入是由于脚本没有对它们正确验证，攻击者有可能注入含有恶意内容的 frame 或 iframe 标记。 链接注入 是修改站点内容的行为，其方式为将外部站点的 URL 嵌入其中，或将有易受攻击的站点中的脚本 的 URL 嵌入其中。将 URL 嵌入易受攻击的站点中，攻击者便能够以它为平台来启动对其他站点的攻击，以及攻击这个易受攻击的站点本身。

检测条件 ：

1、 Web业务运行正常
2、 被测网站具有交互功能模块，涉及到参数get和post提交等等。

检测方法 ：

1、 如果应用程序使用框架，检查主要浏览器窗口的HTML源代码，其中应包含框架标记（frameset）的代码。通过对网站中的get提交的url中的参数进行框架或者链接注入，如图注入到参数id中后效果:
2、 http://www2.xxx.com/a/index.php?id=Fiframe%3E%3CIFRAME+SRC%3D
%22http%3A%2F%2Fwww.baidu.com%22%3E

修复方案：

建议过滤所有以下字符：

[1] |（竖线符号）
[2] & （& 符号）
[3];（分号）
[4] $（美元符号）
[5] %（百分比符号）
[6] @（at 符号）
[7] '（单引号）
[8] "（引号）
[9] \'（反斜杠转义单引号）
[10] \\"（反斜杠转义引号）
[11] <>（尖括号）
[12] ()（括号）
[13] +（加号）
[14] CR（回车符，ASCII 0x0d）
[15] LF（换行，ASCII 0x0a）
[16] ,（逗号）
[17] \（反斜杠）