漏洞描述:
点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。
HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面。如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网站可以通过设置X-Frame-Options阻止站点内的页面被其他页面嵌入从而防止点击劫持。
解决方案:
修改web服务器配置,添加X-Frame-Options响应头。赋值有如下三种:
1、DENY:不能被嵌入到任何iframe或者frame中。
2、SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中
3、ALLOW-FROM uri:只能被嵌入到指定域名的框架中
X-Frame-Options: DENY
由于在iframe.html中
<!DOCTYPE html>
<html>
<head>
<title>iframe</title>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
</head>
<body>
<iframe src="http://192.168.170.164/home.php"></iframe>
</body>
</html>
会加载home.php。于是当用户从index.php登录成功之后跳转到home.php之后,会显示登录成功的状态。这样就造成了CSRF漏洞。可能引起点击劫持攻击。
于是在home.php中加上一句。
即成为
<?php
session_start();
session_regenerate_id();
header("X-Frame-Options: DENY");
这样即便用户在原来的home.php中不退出,而另开一个iframe.html页面的时候,也会因为这句话生效,而加载不出来home.php了。
当用户从网页中退出互殴重新观察HTTP头信息得到如下头信息。
即,多了一个
X-Frame-Options: DENY
而重新加载iframe.html也将得不到任何显示的。
X-Frame-Options: sameorigin
然而存在需要使用iframe的情景。在此种情景下,可以使用sameorigin这个值。将之前的DENY换成sameorigin(大小写不敏感)。则可以成功加载。这种情况对同源(origin)是可以加载的。而对不同源则不能加载(具体不能加载的情况可以查看console)。
X-XSS-Protection
尝试在页面的搜索框插入js脚本。
http://192.168.170.164/home.php?search=%3Cscript%3Ealert%281%29%3C%2Fscript%3E&Search=Search
在Chrome上被拦截
而在Firefox上成功执行。
这是由于没有显式指定X-XSS-Protection头造成的不同浏览器的不同处理。
为了指定清楚,则在之前插入的相同的位置加入这样一句
header(“X-XSS-Protection: 0”); //禁用XSS保护
即可禁用XSS保护,使得js代码得以执行。
或者
header(“X-XSS-Protection: 1”); //开启XSS保护
即可开启XSS保护,禁止js代码执行,防止XSS。
转载https://blog.csdn.net/richardman/article/details/106733357