zoukankan      html  css  js  c++  java
  • 界面操作劫持攻击原理与防御方法

    1. 攻击原理

    界面劫持,分为点击劫持、拖放劫持、触屏劫持。就是我们的点击,拖放,触屏操作被劫持了,而去操作了其它的透明隐藏的界面。其原理是利用透明层+iframe,使用了css中的opacity和z-index等属性,来到达透明和位于其它界面的上方,然后使用iframe来嵌入劫持页面。到达了用户操作的不是它看到的,不是他以为的那个界面,而是那个透明的位于上层的界面。

    2. 防御方法

    有重要会话的交互页面不允许使用iframe嵌入,或者值允许被同域的iframe嵌入。

    2.1 X-Frame-Options

    在web server端给Http响应头中加入一个X-Frame-Options头,取值有 "DENY" 和 "SAMEORIGIN",分别表示不能使用iframe和只能使用同域的iframe。

    2.2 Frame Busting脚本防御

    if(top.location != self.location){
        top.location = self.location;
    }

    禁止iframe的嵌套。

    3. 有价值的参考链接

    http://blog.csdn.net/hfahe/article/details/8138728

    http://bbs.pediy.com/showthread.php?p=1360094

    http://blog.avlyun.com/2014/03/254/%E8%AD%A6%E6%83%95%E5%8F%A6%E7%B1%BBactivity%E5%8A%AB%E6%8C%81/

    4. web安全的参考书籍

    《XSS跨站脚本攻击剖析与防御》

    《Web前端黑客技术揭秘》

    《白帽子讲Web安全》

  • 相关阅读:
    mysql 每条数据增加随机数
    Linux 的VSFTP报错
    Linux 常见命令指南
    Python文件
    Python合并2个文件
    J2ME获取移动手机号码
    不同角度来理解面向对象的几个关键性概念
    打印字符串中第一个只出现一次的字符(C语言)
    ftp上传文件
    ftp上传到nas
  • 原文地址:https://www.cnblogs.com/digdeep/p/4704137.html
Copyright © 2011-2022 走看看