Web服务器点击劫持(ClickJacking)的安全防范
一.介绍
ClickJacking即点击劫持,是一种将恶意代码经过处理使其变成透明、不可见的iframe,并将其覆盖在一个网页上,然后诱使用户在该网页上进行点击操作。通过改变iframe的在页面的位置,可以诱使用户正好点击我们设置好的透明iframe。
二.防御
1.Frame Busting
这种方式是通过写JavaScript来禁止iframe嵌套,因为可以轻易饶过,所以这里不介绍了。具体攻防参照
http://seclab.stanford.edu/websec/framebusting/framebust.pdf
2.设置HTTP请求头(X-Frame-Options)
X-Frame-Options HTTP 响应头,可以指示浏览器是否应该加载一个iframe中的页面。网站可以通过设置X-Frame-Options阻止站点内的页面被其他页面嵌入从而防止点击劫持。
X-Frame-Options共有三个值:
DENY:任何页面都不能被嵌入到iframe或者frame中。
SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。
ALLOW-FROM URI:页面自能被指定的Uri嵌入到iframe或frame中。
例:以限制任何页面都不能被嵌入到iframe为例,分别在apache、IIS和Nginx中配置。
(1).apache配置
修改httpd.conf,添加下面内容。
Header always append X-Frame-Options DENY
如果同一台apache服务器上有多个站点,只想针对其中一个站点进行配置,可以修改.htaccess文件,添加如下内容:
Header append X-FRAME-OPTIONS "DENY"
(2).IIS配置
在web站点的web.config中配置。
<system.webServer>......<httpProtocol><customHeaders><add name="X-Frame-Options" value="DENY" /></customHeaders></httpProtocol>......
</system.webServer>
(3).Nginx配置
修改nginx.conf,在server下添加下面内容。
add_header X-Frame-Options "DENY";
添加完成如下:
server{listen 80;server_name www.dqiang.com;index index.html;add_header X-Frame-Options "DENY";
}
Web服务器点击劫持(ClickJacking)的安全防范相关推荐
- 点击劫持ClickJacking
原文:https://beenle-xiaojie.github.io/2019/01/07/ClickJacking/ 引言 当我们的页面嵌入到一个iframe中时,安全测试提出一个于我而言很新鲜的 ...
- html 设置响应X-frame,X-Frame-Options(点击劫持)漏洞分析及web配置修复
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段.攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的ifram ...
- web 点击劫持 X-Frame-Options
原理解释 点击劫持,clickjacking,也被称为UI-覆盖攻击.这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的. 它是通过覆盖不可见的框架误导受害者点击. 虽 ...
- web安全之点击劫持攻击(clickjack)
点击劫持clickjack 点击劫持 (Clickjacking) 技术又称为界面伪装攻击 (UI redress attack ),是一种视觉上的欺骗手段.攻击者使用一个或多个透明的 iframe ...
- 【burpsuite安全练兵场-客户端14】点击劫持-5个实验(全)
前言: 介绍: 博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章). 殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edus ...
- X-Frame-Options响应头防点击劫持
文章目录 前言 点击劫持 恶意转账 刷点击量 防护手段 HTTP响应头 实际防护效果 漏洞的检测 HTTP标题 X-XSS-Protection 前言 在一些漏扫设备中经常会扫出一个低风险问题--&q ...
- Kali与编程:Winserver 2019 搭建web服务器7-05
1.实验说明:Web服务器一般指网站服务器,是指驻留于因特网上某种类型计算机的程序,可以处理浏览器等Web客户端的请求并返回相应响应,也可以放置网站文件,让全世界浏览:可以放置数据文件,让全世界下载. ...
- Web安全之点击劫持(ClickJacking)
目录 iframe覆盖 直接示例说明 解决办法 Apache配置: nginx配置: IIS配置: 图片覆盖 示例 解决办法 总结 点击劫持(ClickJacking)是一种视觉上的欺骗手段.大概有两 ...
- 《白帽子讲web安全》第5章 点击劫持(ClickJacking)
一.ClickJacking简介 点击劫持(ClickJacking):是一种视觉上的欺骗手段,攻击者使用一个透明的.不可见的iframe覆盖在网页上,并诱使用户在该网页上进行操作.(用户在不知情的情 ...
- Web安全之点击劫持
Web安全之点击劫持文章,原文链接:http://www.cnblogs.com/lovesong/p/5248483.html Web安全之点击劫持(ClickJacking) 点击劫持(Click ...
最新文章
- 模板 - 最长上升子序列与最长公共子序列
- 如何将github上源代码导入eclipse中
- 【实习项目记录】(一)加密算法MD5和RSA
- sql over函数_SQL 高级函数
- 案例 github_2019年12月Github上最热门的Java开源项目,速来围观!
- Tomcat系列(5)——Tomcat配置详细部分
- 顶点计划:寝室作息讨论
- 库存收藏-各种设备默认用户名和密码
- 并联串联混合的电压和电流_电子电路基础,教你看懂电子电路,简单的串并联...
- ui设计app设计风格有哪些?ui设计app界面设计流程是什么?
- 64qam带宽计算_信道带宽计算参考
- # ubuntu 16.04 vivado2017.4版本用JTAG烧写usrpx310的固件
- 解决:TransportException: Cannot execute request on any known server
- 5种常见的服务器种类是哪些
- SQL Native Client][SQL Server]无法将函数单元 'sp_sqlagent_get_startup_info' 添加到组件 'Agen...
- 物联网考计算机是跨专业,2014考研计算机等专业 加入物联网技术方向_跨考网
- epoll 编程注意事项以及参数查看
- GitHub学生开发者工具包
- 最近热点之 “华为”,别点开
- Echarts 温度计