zoukankan      html  css  js  c++  java
  • X-Frame-Options(点击劫持)

    漏洞描述:
    点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。
    HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面。如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网站可以通过设置X-Frame-Options阻止站点内的页面被其他页面嵌入从而防止点击劫持。
    解决方案:
    修改web服务器配置,添加X-Frame-Options响应头。赋值有如下三种:
    1、DENY:不能被嵌入到任何iframe或者frame中。
    2、SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中
    3、ALLOW-FROM uri:只能被嵌入到指定域名的框架中
    apache可配置http.conf如下:

    Header always append X-Frame-Options "DENY" 1 2 3 比如如果我们使用phpstudy搭建的环境,我们可以 其他选项菜单—> php扩展及设置—>Apache模块,勾选 headers_module 模块,然后在Apache的配置文件 httpd.conf 中的空白行加入 Header always append X-Frame-Options SAMEORIGIN 即可! 加之前:

    加之后:

    测试网站是否设置了X-Frame-Options
    将如下的代码中iframe中的链接换成待测网站的,保存为.html文件,本地打开。如果打开的页面中显示了待测的网站,则说明没有设置,反之设置了。

    点击劫持测试 1 2 3 4 5 6 7 8 9 10

    ————————————————
    版权声明:本文为CSDN博主「橘子就酱」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
    原文链接:https://blog.csdn.net/weixin_42728957/article/details/89357550

  • 相关阅读:
    asp.net大文本保存 framework4.0
    temp文件夹权限对ASP网站以及ASP.NET网站的影响【转载】
    将access数据转移到sql server
    MVC图片上传、剪辑、缩略、水印
    魔兽War3按键精灵Ⅱ(201294)
    PHP中应用CKEditor和CKFinder上传图片读取图片
    C#中get和set个人理解
    asp.net验证码实现
    转三篇文章关于php中session机制
    ORM组件 ELinq (五)映射配置之XML
  • 原文地址:https://www.cnblogs.com/suizhikuo/p/12215247.html
Copyright © 2011-2022 走看看