文首發：看雪論壇 http://bbs.pediy.com/thread-217315.htm

04

指定站點攻擊

雖然多數站點使用如前面所談到的流行的framebusting技術，但是一些站點選擇開發自身的framebusting技術，在這部分，我們將討論一些在調查中發現的很有趣的防御手段，并且展示一些相關的技術來挫敗他們。

4.1

黑暗中的一束光

Facebook的framebusting方法和流行的方法大不相同。它不是在自身框架外進行破壞，而是插入一個灰色的半透明div標簽，這個標簽包括了一個框架頁面的所有內容，當用戶點擊div的任何一處，facebook就破壞框架。這個巧妙的方法允許內容被框架的同時，阻止了點擊劫持攻擊。以下是帶漏洞的代碼版本，我們已經報告給facebook。

If(top!= self){

Window.document.write(“<divstyle=’background:black; opacity: 0.5;filter:alpha(opacity=50);position:absolute; top:0px; left:0px; width:9999px;height:9999px; z-index: 1000001’ onClick=’top.location.href=window.location.href’></div>”)

當被框架時，這段代碼插入一個黑色的9999*9999像素，50%透明的（0，0）處的div標簽。因為所有出這個div之外的facebook內容都在框架之中，這個保護可以被載入足夠大的框架挫敗，由此整個框架的中心久位于黑色的div區域外。內容自然地流動到框架的中心并被直接顯示給用戶并且沒有被黑色覆蓋，框架代碼如下，相應的頁面如圖5

<bodys t y l e=" overflow-x : hidden ;

border : 0 px ; margin : 0 px ; ">

<iframe width="21800px" height="2500px"

s r c=" http :/ / facebook . com/"

frameborder="0"

marginheight="0" marginwidth="0" >

</iframe>

<s c r i p t >window . s c ro l l T o ( 1 0 2 0 0 , 0 ) ;

</s c r i p t >

移除點擊此處添加圖片說明文字

Figure 5:Facebook’s elegant black layer defense

注意到 scrollTo 函數動態翻轉滾動到 frame 的中心，這樣內容出現得很清除。

4.2

域檢查錯誤

USBank使用framebusting代碼來檢測referrer字段從而判斷是否能夠被框架化。工作代碼如下：

i f ( s e l f!= top ) {

var dom = getDom( document . r e f e r r e r ) ;

var okDom = /usbank j l o c a lh o s t | usbnet / ;

var matchDomain = dom . search (okDom ) ;

i f ( matchDomain == -1){ //b u s t}

getDomain是一個用來返回URL中的域名信息，注意到任何包含USBank的都將被允許來框架頁面，這完全不是開發者所希望的。舉例來說，挪威的statehousebank（http://www.husbank.no）和莫斯科銀行（http://www.rusbannk.org）都可互相來被允許框架頁面，因為兩者的域名中都包含由字符串usbank

4.3

信任問題

Myspace.com的framebusting代碼：

移除點擊此處添加圖片說明文字

代碼被設計成允許myspace被谷歌圖片所框架。然而谷歌圖片谷歌圖片沒有framebusting，結果就是一個攻擊者框架谷歌圖片然后通過谷歌額圖片來框架myspace。因為myspace接收到來自谷歌圖片的referrer它并不會識圖導出框架。結果如圖六所示：

移除點擊此處添加圖片說明文字

Figure 6: Because MySpace whitelists Google in

這個例子顯示在framebusting的情景下，相互的信任關系會變得很危險。一個兄弟站點不使用framebusting會導致受信頁面被攻擊者框架化

05

安全地framebusting

現在我們將角度轉到防御者的角度，討論如何是一個占地那避免被框架化。首先我們回顧相關的用戶端的額特點，然后給出一段有效抵御現有攻擊的framebusting代碼

5.1

x-frame-options

微軟在IE8中為了抵抗點擊劫持攻擊特意引入了x-frame-options，這是一個HTTP響應報文中的報頭，這個字段有兩個不同的值：DENY和SAMEORIGIN。當時用DENY時，IE8將會在請求站點的框架內容中進行渲染。如果使用的是SAMEORIGIN，IE只會在頂層瀏覽內容來源和包含指令內容來源不同時才會禁止該頁面。

盡管這個機制很有效，但是它還是有三個主要的局限。

每頁策略指定：

該策略需要為每個頁面指定，這可能使部署復雜化。為提供全面強制執行策略的能力，例如在登陸的時候，可以簡化采用。

多域名問題

在目前的實現下不允許網站管理員提供允許框架網頁的白名單，雖然白名單可能是危險的，但在某些情況下，管理員可能無法選擇而至鞥你使用主域名。

代理

網絡代理在添加，刪除頭部字段方面是臭名昭著的，如果一個網絡代理剔除了x-frame-options字段，那網站將失去它的框架保護

x-frame-options已經被瀏覽器開發商迅速采用，出了firefox之外，每個最新版本的瀏覽器都使用了這個技術，danfirefox通過NoScriptfirefox插件提供此項功能。

但是在web方面采用較慢，最新一項調查顯示，在top10000中只有4個網站使用了它，這個結論是和我們的觀察是一致的，我們觀察到只有三個站點使用了這項技術。

5.2

內容安全策略

內容安全策略是一個Mozilla計劃，該計劃向web開發人員提供了一種網站上可指定互動內容的方法，它在firefox3.7中的部署已經被提上了日程。和x-frame-options一樣，策略通過HTTP響應頭傳送，它比x-frame-options更為通用，允許網站的所有者指定其他類型的內容互動，例如：它允許網站將腳本限制在特定的來源。

Web管理者可直接使用指定的frame-ancestors指令來指定那些來源能夠被嵌入到frame或者iframe標簽中去。因此不像x-frame-options，web管理者可指定允許的第三方網站嵌入到iframe中。CSP從x-frame-options的另外一些局限性中吃到了苦頭。它并不提供一個強制的全局策略，到現在這個策略尚處于測試階段還未被網站所使用。

5.3

使用javascript

到此x-frame-options或其他基于瀏覽器的防護手段被廣泛使用，這使web站點幾乎沒有選擇的余地只能使用javascript來對抗點擊劫持。圖7中所示的是目前我們認為最有效安全的framebusting代碼

移除點擊此處添加圖片說明文字

頁面加載時，樣式表會隱藏頁面上的所有內容。 如果禁用JavaScript，頁面將保持為空。 類似地，如果頁面被框架，它將保持空白，否則將嘗試破壞框架。 如果framebusting代碼被阻止，如通過掛起卸載事件或進行204沖洗攻擊，頁面將保持為空。該腳本僅顯示內容頁面不在框架中運行的文檔。 請注意，通過瀏覽器設置或NoScript禁用JavaScript的用戶將無法使用該站點。 如果是這樣的話，設計師可能想要有一個后備機制。

在我們的示例中，整個頁面最初是不可見的，但是通過讓子元素不可見，這種防御可能更加地細粒度。這樣，如果禁用JavaScript，則可以向用戶顯示一條消息。 但是，不建議激活超出該簡單消息的任何功能子集。

我們通過注入代碼到頂部頁面手工測試了一些負載重的站點。 使用Firefox的YSlow和Chrome的Speed Tracer，我們無法識別渲染或加載時間的任何顯著降低

我們強調，這個代碼沒有被證明是框架破壞的一種安全方法。 正如我們在整篇文章中所展示的，許多錯誤和漏洞可用于攻擊者定位JavaScript framebusting，并且可能還有更多。 我們的代碼片段可能已經很容易受到未知攻擊的影響。但據我們所知，這是當前最好的方法。

06

相關工作

第一次提到透明iframe的負面影響是2002年MozzilaFirefox瀏覽器的錯誤報告[21]。術語“劫持”[10]是由Hansen和Grossman在2008年創造的。Clickjacking與網絡釣魚[9]不同，因為它不會誘使用戶將機密憑證輸入假冒網站。相反，用戶必須將其憑據輸入真實的站點以建立認證會話。攻擊能夠持續到用戶的會話過期。劫持可以被認為是混淆代理的一個實例[5]。 “混淆代理”一詞是1988年由哈迪創造的[11]。另一個網絡上的混淆代理問題的例子是跨站點請求偽造[2]。網絡密鑰認證方案[6]在URL中使用不可預知的秘密，而不是cookie進行身份驗證。這種方法可以減輕混淆代理的問題，如劫持和CSRF。用于點擊劫持的實驗客戶端防御包括ClearClick [18]和ClickIDS [1]。這些防御還沒有廣泛部署，所以他們不能作為網站主要的防御。他們還介紹了陳舊網站的一些兼容性成本，這可能會妨礙瀏覽器廠商的采用。

07

結論

我們調查了top500網站的framebusting的做法。 通過使用已知和新穎的攻擊技術，我們發現我們遇到的所有劫持防御都可以以某種方式繞過。

許多攻擊是通用的，可以用于攻擊各種各樣的站點。我們發現使用有針對性的攻擊可以擊敗具有高級劫持防御（如Facebook和MySpace）的站點。在查看了可用的防御措施后，我們提出了一種基于JavaScript的防御方式，直到瀏覽器支持X-FRAME-OPTIONS等解決方案得到廣泛部署。

本文由 看雪翻譯小組 wangrin 編譯，來源Stanford Web Security Research

完~

如果你喜歡的話，不要忘記點個贊哦！

小新 編譯自 Insight Data Blog

量子位 出品 | 公眾號 QbitAI

寫個網頁能有多麻煩？在大多數公司里，這項工作分為三步：

1. 產品經理完成用戶調研任務后，列出一系列技術要求；

2. 設計師根據這些要求來設計低保真原型，逐漸修改得到高保真原型和UI設計圖；

3. 工程師將這些設計圖實現為代碼，最終變成用戶使用的產品。

這么多環節，任何地方出一點問題，都會拉長開發周期。因此，不少公司，比如Airbnb已經開始用機器學習來提高這個過程的效率。

△ Airbnb內部的AI工具，從圖紙到代碼一步到位

看起來很美好，但Airbnb還沒公開該模型中端到端訓練的細節，以及手工設計的圖像特征對該模型的貢獻度。這是該公司特有的閉源解決方案專利，可能不會進行公開。

好在，一個叫Ashwin Kumar的程序員創建了一個開源版本，讓開發者/設計師的工作變得更簡單。

以下內容翻譯自他的博客：

理想上，這個模型可以根據網站設計的簡單手繪原型，很快地生成一個可用的HTML網站：

△ SketchCode模型利用手繪線框圖來生成HTML網站

事實上，上面例子就是利用訓練好的模型在測試集上生成的一個實際網站，代碼請訪問：https://github.com/ashnkumar/sketch-code。

從圖像標注中獲取靈感

目前要解決的問題屬于一種更廣泛的任務，叫做程序綜合（program synthesis），即自動生成工作源代碼。盡管很多程序綜合研究通過自然語言規范或執行追蹤法來生成代碼，但在當前任務中，我會充分利用源圖像，即給出的手繪線框圖來展開工作。

在機器學習中有一個十分熱門的研究領域，稱為圖像標注（image caption），目的是構建一種把圖像和文本連接在一起的模型，特別是用于生成源圖像內容的描述。

△ 圖像標注模型生成源圖像的文本描述

我從一篇pix2code論文和另一個應用這種方法的相關項目中獲得靈感，決定把我的任務按照圖像標注方式來實現，把繪制的網站線框圖作為輸入圖像，并將其相應的HTML代碼作為其輸出內容。

注：上段提到的兩個參考項目分別是

pix2code論文：https://arxiv.org/abs/1705.07962

floydhub教程：https://blog.floydhub.com/turning-design-mockups-into-code-with-deep-learning/?source=techstories.org

獲取合適的數據集

確定圖像標注方法后，理想中使用的訓練數據集會包含成千上萬對手繪線框圖和對應的HTML輸出代碼。但是，目前還沒有我想要的相關數據集，我只好為這個任務來創建數據集。

最開始，我嘗試了pix2code論文給出的開源數據集，該數據集由1750張綜合生成網站的截圖及其相應源代碼組成。

△ pix2code數據集中的生成網站圖片和源代碼

這是一個很好的數據集，有幾個有趣的地方：

• 該數據集中的每個生成網站都包含幾個簡單的輔助程序元素，如按鈕、文本框和DIV對象。盡管這意味著這個模型受限于將這些少數元素作為它的輸出內容，但是這些元素可通過選擇生成網絡來修改和擴展。這種方法應該很容易地推廣到更大的元素詞匯表。

• 每個樣本的源代碼都是由領域專用語言（DSL）的令牌組成，這是該論文作者為該任務所創建的。每個令牌對應于HTML和CSS的一個片段，且加入編譯器把DSL轉換為運行的HTML代碼。

彩色網站圖像變手繪圖

為了修改我的任務數據集，我要讓網站圖像看起來像手工繪制出的。我嘗試使用Python中的OpenCV庫和PIL庫等工具對每張圖像進行修改，包括灰度轉換和輪廓檢測。

最終，我決定直接修改原始網站的CSS樣式表，通過執行以下操作：

1. 更改頁面上元素的邊框半徑來平滑按鈕和DIV對象的邊緣；

2. 模仿繪制的草圖來調整邊框的粗細，并添加陰影；

3. 將原有字體更改為類似手寫的字體；

最終實現的流程中還增加了一個步驟，通過添加傾斜、移動和旋轉來實現圖像增強，來模擬實際繪制草圖中的變化。

使用圖像標注模型架構

現在，我已經處理好數據集，接下來是構建模型。

我利用了圖像標注中使用的模型架構，該架構由三個主要部分組成：

1. 一種使用卷積神經網絡（CNN）的計算機視覺模型，從源圖像提取圖像特征；

2. 一種包含門控單元GRU的語言模型，對源代碼令牌序列進行編碼；

3. 一個解碼器模型，也屬于GRU單元，把前兩個步驟的輸出作為輸入，并預測序列中的下一個令牌。

△ 以令牌序列為輸入來訓練模型

為了訓練模型，我將源代碼拆分為令牌序列。模型的輸入為單個部分序列及它的源圖像，其標簽是文本中的下一個令牌。該模型使用交叉熵函數作為損失函數，將模型的下個預測令牌與實際的下個令牌進行比較。

在模型從頭開始生成代碼的過程中，該推理方式稍有不同。圖像仍然通過CNN網絡進行處理，但文本處理開始時僅采用一個啟動序列。在每個步驟中，模型對序列中輸出的下個預測令牌將會添加到當前輸入序列，并作為新的輸入序列送到模型中；重復此操作直到模型的預測令牌為，或該過程達到每個文本中令牌數目的預定義值。

當模型生成一組預測令牌后，編譯器就會將DSL令牌轉換為HTML代碼，這些HTML代碼可以在任何瀏覽器中運行。

用BLEU分數評估模型

我決定使用BLEU分數來評估模型。這是機器翻譯任務中常用的一種度量標準，通過在給定相同輸入的情況下，衡量機器生成的文本與人類可能產生內容的近似程度。

實際上，BLEU通過比較生成文本和參考文本的N元序列，以創建修改后的準確版本。它非常適用于這個項目，因為它會影響生成HTML代碼中的實際元素，以及它們之間的相互關系。

最棒的是，我還可以通過檢查生成的網站來比較當前的實際BLEU分數。

△ 觀察BLEU分數

當BLEU分數為1.0時，則說明給定源圖像后該模型能在正確位置設置合適的元素，而較低的BLEU分數這說明模型預測了錯誤元素或是把它們放在相對不合適的位置。我們最終模型在評估數據集上的BLEU分數為0.76。

福利：定制網頁風格

后來，我還想到，由于該模型只生成當前頁面的框架，即文本的令牌，因此我可以在編譯過程中添加一個定制的CSS層，并立刻得到不同風格的生成網站。

△ 一個手繪圖生成多種風格的網頁

把風格定制和模型生成兩個過程分開，在使用模型時帶來了很多好處：

1.如果想要將SketchCode模型應用到自己公司的產品中，前端工程師可以直接使用該模型，只需更改一個CSS文件來匹配該公司的網頁設計風格；

2. 該模型內置的可擴展性，即通過單一源圖像，模型可以迅速編譯出多種不同的預定義風格，因此用戶可以設想出多種可能的網站風格，并在瀏覽器中瀏覽這些生成網頁。

總結和展望

受到圖像標注研究的啟發，SketchCode模型能夠在幾秒鐘內將手繪網站線框圖轉換為可用的HTML網站。

但是，該模型還存在一些問題，這也是我接下來可能的工作方向：

1. 由于這個模型只使用了16個元素進行訓練，所以它不能預測這些數據以外的令牌。下一步方向可能是使用更多元素來生成更多的網站樣本，包括網站圖片，下拉菜單和窗體，可參考啟動程序組件（https://getbootstrap.com/docs/4.0/components/buttons/）來獲得思路；

2. 在實際網站構建中，存在很多變化。創建一個能更好反映這種變化的訓練集，是提高生成效果的一種好方法，可以通過獲取更多網站的HTML/CSS代碼以及內容截圖來提高；

3. 手繪圖紙也存在很多CSS修改技巧無法捕捉到的變化。解決這個問題的一種好方法是使用生成對抗網絡GAN來創建更逼真的繪制網站圖像。

相關地址

代碼：https://github.com/ashnkumar/sketch-code

原文：https://blog.insightdatascience.com/automated-front-end-development-using-deep-learning-3169dd086e82

— 完 —

誠摯招聘

量子位正在招募編輯/記者，工作地點在北京中關村。期待有才氣、有熱情的同學加入我們！相關細節，請在量子位公眾號(QbitAI)對話界面，回復“招聘”兩個字。

量子位 QbitAI · 頭條號簽約作者

?'?' ? 追蹤AI技術和產品新動態