web安全 点击劫持 ClickJacking
2016-09-13 17:00
190 查看
描述
点击劫持是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网而上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上。HTTP响应头信息中的X-Frame-Option,可以指示浏览器是否应该加一个iframe中的页面。如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网站可以通过设置X-Frame-Options阻止站点内的页面被其页面嵌入从而防止点击支持。
解决方法
<meta http-equiv="X-Frame-Options" content="SAMEORIGIN" />
修改web服务器配置,添加X-frame-options响应头。赋值有如下三种:
(1)DENY:不能被嵌入到任何iframe或frame中。
(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。
(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。
1.frame busting
是指利用js判断location以防止网页被别人iframe内嵌的一个实现 。
<script>
if(top!=window){
top.location=window.location
}
</script>
但是可以通过onbeforeunload事件来阻止这种跳转。
<script>
window.onbeforeunload=function(){
window.onbeforeunload = null;
return "Maybe you want to leave the page, before you become rich?"
}
</script>
参考:http://javascript.info/tutorial/clickjacking
点击劫持是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网而上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上。HTTP响应头信息中的X-Frame-Option,可以指示浏览器是否应该加一个iframe中的页面。如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网站可以通过设置X-Frame-Options阻止站点内的页面被其页面嵌入从而防止点击支持。
解决方法
<meta http-equiv="X-Frame-Options" content="SAMEORIGIN" />
修改web服务器配置,添加X-frame-options响应头。赋值有如下三种:
(1)DENY:不能被嵌入到任何iframe或frame中。
(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。
(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。
1.frame busting
是指利用js判断location以防止网页被别人iframe内嵌的一个实现 。
<script>
if(top!=window){
top.location=window.location
}
</script>
但是可以通过onbeforeunload事件来阻止这种跳转。
<script>
window.onbeforeunload=function(){
window.onbeforeunload = null;
return "Maybe you want to leave the page, before you become rich?"
}
</script>
参考:http://javascript.info/tutorial/clickjacking
相关文章推荐
- Web安全之点击劫持(ClickJacking)
- Web服务器点击劫持(ClickJacking)的安全防范
- Web安全之点击劫持(ClickJacking)
- web安全————clickjacking(点击劫持)
- Web应用安全之点击劫持(CLICKJACKING)与X-FRAME-OPTIONS HEADER
- Web安全之点击劫持(ClickJacking)
- web安全(3)-- ClickJacking(点击劫持)
- Web安全之点击劫持(ClickJacking)
- web安全之点击劫持(clickjacking)
- Web安全之点击劫持(ClickJacking)
- 腾讯大牛教你web前后端漏洞分析与防御-点击劫持,传输安全
- Web安全之点击劫持
- web客户端安全之点击劫持
- JAVA年度安全 第五周 防止“点击劫持”(ClickJacking)
- WEB安全基础-点击劫持漏洞基础
- web安全之点击劫持
- 关于点击劫持(clickjacking)的一些信息
- 点击劫持(Clickjacking)漏洞技术内幕
- 安全测试4_客户端的安全漏洞(XSS、CSRF、点击劫持、URL跳转)
- 基于iframe的CFS(Cross Frame Script)和Clickjacking(点击劫持)攻击