HTML <iframe> Tag (Reference)
นิยาม
An inline frame is used to embed another document within the current HTML document.
คือคำสั่ง <iframe> ใช้ในการฝังอะไรซักอย่างไว้ในหน้า html ของเราอีกที
ตัวอย่างการใช้งาน
<iframe src="http://www.w3schools.com"></iframe>
ซึ่งนับว่าเป็นคำสั่งที่มีประโยชน์ไม่ใช่น้อย เมื่อใช้ในทางที่ถูกต้อง
แต่ก็มีการนำมาใช้ในทางที่ผิด คือเป็นการฝังโค๊ดของหน้าเว็บเพจที่มีมัลแวร์ไว้ในหน้า html
โดยการฝังไว้ตรงๆ ก็คงสังเกตุได้ไม่ยาก แต่ถ้าฝังโค๊ดด้วย JavaScript นี่สิ! ยุ่งเลย
วิธีสังเกตุในโค๊ดว่ามีโค๊ดแปลกปลอมมั๊ย วิธีง่ายๆเลย ให้ดูว่าในโค๊ดมี คำสั่ง JavaScript ต่อไปนี้หรือไม่
<script> eval(unescape('xxx')); </script>
ถ้ามีก็เตรียมใจไว้เลย
โดย ‘xxx’ ในที่นี้คือ uri หรือ url ของหน้าเว็บเพจที่มีมัลแวร์อยู่นั่นเอง
เช่นเข้ารหัส url ด้วยคำสั่ง escape จะได้ตัวอักษรที่อ่านไม่รู้เรื่อง เช่น
<script> document.write(escape("Need tips? Visit W3Schools!")); </script>
จะได้
Need%20tips%3F%20Visit%20W3Schools%21
ดูรหัส url ทั้งหมดได้ที่นี่ HTML URL Encoding Reference
เวลาที่ web browser อ่านจึงต้องใช้คำสั่ง unescape มาถอดรหัส และใช้คำสั่ง eval มาสั่งให้โค๊ดดังกล่าวทำงาน
ถ้าติดเข้าแล้วจะทำยังไง??
นั่งลบเองทีละบรรทัด หรือใช้ FizScript โดยอ่านได้ที่นี่ www.thaiseoboard.com