【前端安全】点击劫持
2019-04-07 13:32
441 查看
点击挟持:
顾名思义,跟点击有关,挟持,意味着违背用户意愿做一件事情。
点击挟持,通过用户点击完成了另一个操作,用户并不知情。
通过iframe
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-equiv="X-UA-Compatible" content="ie=edge"> <title>点击挟持</title> </head> <body style="background: url(clickhijack.png) no-repeat"> <iframe style="opacity:0" src="http://localhost:80/post/15" width="800" height="600"></iframe> </body> </html>
点击劫持防御
- javascript 禁止内嵌
- X-FRAME-OPTIONS 禁止内嵌
- 其他辅助手段
1. javascript 禁止内嵌
当有 iframe内嵌时候,top 和window会不相等
if(!top.location != winodw.location) { top.location = window.location }
有可能禁用了JS,此时点击劫持还是会有的。
2. X-FRAME-OPTIONS 禁止内嵌
ctx.set('X-Frame-Options', 'DENY');
3. 其他辅助手段
加验证码 来防止点击挟持 或者其他手段来增加用户的操作。
相关文章推荐
- Web应用安全之点击劫持(CLICKJACKING)与X-FRAME-OPTIONS HEADER
- Web安全之点击劫持(ClickJacking)
- Web安全之点击劫持
- web安全之点击劫持(clickjacking)
- 腾讯大牛教你web前后端漏洞分析与防御-点击劫持,传输安全
- WEB安全基础-点击劫持漏洞基础
- web客户端安全之点击劫持
- JAVA年度安全 第五周 防止“点击劫持”(ClickJacking)
- Web安全之点击劫持(ClickJacking)
- Web安全之点击劫持(ClickJacking)
- Web安全之点击劫持(ClickJacking)
- Web安全之点击劫持(ClickJacking)
- 【前端安全】JavaScript防流量劫持
- web安全 点击劫持 ClickJacking
- web安全之点击劫持
- Web服务器点击劫持(ClickJacking)的安全防范
- 安全测试4_客户端的安全漏洞(XSS、CSRF、点击劫持、URL跳转)
- web安全(3)-- ClickJacking(点击劫持)
- web安全————clickjacking(点击劫持)
- 『局域网安全』利用ARP欺骗劫持Cookie