HTML <iframe> Tag (Reference)
นิยาม
An inline frame is used to embed another document within the current HTML document.
คือคำสั่ง <iframe> ใช้ในการฝังอะไรซักอย่างไว้ในหน้า html ของเราอีกที
ตัวอย่างการใช้งาน
[code lang=”html”]
<iframe src="http://www.w3schools.com"></iframe>
[/code]
ซึ่งนับว่าเป็นคำสั่งที่มีประโยชน์ไม่ใช่น้อย เมื่อใช้ในทางที่ถูกต้อง
แต่ก็มีการนำมาใช้ในทางที่ผิด คือเป็นการฝังโค๊ดของหน้าเว็บเพจที่มีมัลแวร์ไว้ในหน้า html
โดยการฝังไว้ตรงๆ ก็คงสังเกตุได้ไม่ยาก แต่ถ้าฝังโค๊ดด้วย JavaScript นี่สิ! ยุ่งเลย
วิธีสังเกตุในโค๊ดว่ามีโค๊ดแปลกปลอมมั๊ย วิธีง่ายๆเลย ให้ดูว่าในโค๊ดมี คำสั่ง JavaScript ต่อไปนี้หรือไม่
[code lang=”javascript”]
<script>
eval(unescape(‘xxx’));
</script>
[/code]
ถ้ามีก็เตรียมใจไว้เลย
โดย ‘xxx’ ในที่นี้คือ uri หรือ url ของหน้าเว็บเพจที่มีมัลแวร์อยู่นั่นเอง
เช่นเข้ารหัส url ด้วยคำสั่ง escape จะได้ตัวอักษรที่อ่านไม่รู้เรื่อง เช่น
[code lang=”javascript”]
<script>
document.write(escape("Need tips? Visit W3Schools!"));
</script>
[/code]
จะได้
[code lang=”html”]
Need%20tips%3F%20Visit%20W3Schools%21
[/code]
ดูรหัส url ทั้งหมดได้ที่นี่ HTML URL Encoding Reference
เวลาที่ web browser อ่านจึงต้องใช้คำสั่ง unescape มาถอดรหัส และใช้คำสั่ง eval มาสั่งให้โค๊ดดังกล่าวทำงาน
ถ้าติดเข้าแล้วจะทำยังไง??
นั่งลบเองทีละบรรทัด หรือใช้ FizScript โดยอ่านได้ที่นี่ www.thaiseoboard.com