前端的安全防范----点击劫持

最新推荐文章于 2024-07-16 10:30:27 发布
最新推荐文章于 2024-07-16 10:30:27 发布
阅读量323 收藏
点赞数 1
分类专栏: 前端面试题 文章标签: 前端面试题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LuckXinXin/article/details/109451617
版权

涉及面试题:什么是点击劫持?如何防范点击劫持?

点击劫持是一种视觉欺骗的攻击手段。攻击者将需要攻击的网站通过 iframe 嵌套的方式嵌入自己的网页中,并将 iframe 设置为透明,在页面中透出一个按钮诱导用户点击

在这里插入图片描述

对于这种攻击方式,推荐防御的方法有两种

** X-FRAME-OPTIONS**

X-FRAME-OPTIONS 是一个 HTTP 响应头,在现代浏览器有一个很好的支持。这个 HTTP 响应头 就是为了防御用iframe 嵌套的点击劫持攻击。

该响应头有三个值可选,分别是

  • DENY,表示页面不允许通过 iframe 的方式展示
  • SAMEORIGIN,表示页面可以在相同域名下通过 iframe 的方式展示
  • ALLOW-FROM,表示页面可以在指定来源的 iframe 中展示

JS 防御

对于某些远古浏览器来说,并不能支持上面的这种方式,那我们只有通过 JS 的方式来防御点击劫持了。

<head>
  <style id="click-jack">
    html {
      display: none !important;
    }
  </style>
</head>
<body>
  <script>
    if (self == top) {
      var style = document.getElementById('click-jack')
      document.body.removeChild(style)
    } else {
      top.location = self.location
    }
  </script>
</body>

以上代码的作用就是当通过 iframe 的方式加载页面时,攻击者的网页直接不显示所有内容了

LuckXinXin
关注
专栏目录
界面劫持点击劫持
d59hao的博客
06-13 645
界面操作劫持攻击实际上是一种基于视觉欺骗的 web 会话劫持攻击,核心在于使用了标签中的透明属性,他通过在网页的可见输入控件上覆盖一个不可见的框,使得用户误以为在操作可见控件,而实际上用户的操作行为被其不可见的框所劫持,执行不可见框中的恶意代码,达到窃取信息,控制会话,植入木马等目的。因为首先劫持的是用户的鼠标点击操作,所以命名叫点击劫持。最新版本的浏览器提供很多防御点击劫持漏洞的安全机制,对于普通的互联网用户,经常更新修复浏览器的安全漏洞,能够最有效的防止恶意攻击。
前端安全系列-网络劫持
Candour_0的博客
02-15 465
前端安全系列-网络劫持
点击劫持:潜在有害的网页浏览器漏洞利用
phphot
11-20 1578
Clickjacking: Potentially harmful Web browser exploit点击劫持:潜在有害的网页浏览器漏洞利用 Author: Michael Kassner作者:Michael Kassner 翻译:endurer,2008-11-19 第一版 Category: General, security, News类别:常规,安全
Web 安全点击劫持(Clickjacking)攻击详解_点击劫持攻击
最新发布
2401_85773496的博客
07-16 1112
点击劫持(Clickjacking)攻击,又称为界面伪装攻击,是一种利用视觉欺骗手段进行攻击的方式。攻击者通过技术手段欺骗用户点击本没有打算点击的位置,当用户在被攻击者攻击的页面上进行操作时,实际点击结果被劫持,从而被攻击者利用。这种攻击方式利用了用户对网站的信任,通过覆盖层(通常是透明的iframe)覆盖在另一个网页之上,使受害者无法察觉。
web前端安全之CSRF和点击劫持
wlz555的博客
01-28 301
web前端 安全 CSRF 点击劫持
前端安全防范点击劫持的两种方式
weixin_34414650的博客
10-19 621
近期的工作都和交易有关,写代码都特别谨慎,前面说过前端如何防范跨站请求伪造攻击(CSRF),这次准备简单说说防范点击劫持。 什么点击劫持?最常见的是恶意网站使用 <iframe> 标签把我方的一些含有重要信息类如交易的网页嵌入进去,然后把 iframe 设置透明,用定位的手段的把一些引诱用户在恶意网页上点击。这样用户不知不觉中...
点击劫持漏洞 主机入侵防范
建伟博客
03-26 1739
点击劫持(click jacking)估计搞安全的都对这四个字不陌生,一句话描述这种劫持:利用社工搭配目标站的不安全配置对用户造成危害。这种漏洞目前在国内一直不被重视,但前一阵子Facebook和YouTube纷纷爆出点击劫持导致大问题的漏洞,国外才开始关注此问题,但国内依然不理不睬,看起来很容易的漏洞,但真的可以造成很大的危害,此文目的既在此。01 聊聊点击劫持看到上图的你们,是不是都会去选择点...
最新大厂前端面试题-面试指南攻击篇.docx
06-06
前端面试中,安全问题虽不常被问到,但却至关重要。面试者应当对这些安全威胁有深入理解,以便在实际工作中确保应用的安全性。以下是一些常见的前端安全攻击及其防御策略。 1. SQL注入: SQL注入是通过输入恶意...
前端大厂最新面试题-前端安全.docx
06-06
前端大厂最新面试题-前端安全 本文档总结了前端安全的相关知识点,涵盖了XSS、CSRF、CSP等多方面的内容。下面是对标题和描述中所说的知识点的详细说明: 一、XSS(Cross-Site Scripting) * 定义:XSS是一种经常...
点击劫持漏洞
Zeker62的博客
08-23 1735
目录什么是点击劫持?如何构建基本的点击劫持攻击使用预填表单输入进行点击劫持帧破坏脚本将点击劫持与 DOM XSS攻击相结合多步点击劫持如何防止点击劫持攻击X-Frame-Options内容安全策略 ( CSP )什么是点击劫持点击劫持是一种基于界面的攻击,通过点击诱饵网站中的一些其他内容,诱使用户点击隐藏网站上的可操作内容。考虑以下示例: 网络用户访问诱饵网站(可能这是电子邮件提供的链接)并...
nginx配置请求防止点击劫持
稻火的博客
05-25 488
nginx配置请求防止点击劫持 在返回index.html配置中加入add_header X-Frame-Options DENY; location / { root /data/nginx/html/dist/; index index.html; add_header X-Frame-Options DENY; try_files $uri $uri/ @router; } DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 SAMEORIGIN 表示该页
X-Frame-Options 响应配置避免点击劫持攻击
热门推荐
飞月程序人生
10-17 3万+
X-Frame-Options HTTP 响应是用来给浏览器指示允许一个页面可否在 <frame>, <iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击.
点击劫持漏洞修复
YXWik的博客
05-21 1578
点击劫持是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击了透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上,攻击者常常配合社工手段完成攻击。 解决方案: 在nginx配置中的location 下添加 add_header X-Frame-Options SAMEORIGIN; ...
初识Web安全——HTML,CSS点击劫持
tjz991129的博客
07-30 363
初识Web安全——HTML,CSS点击劫持 本文主要介绍HTML,CSS存在的一个简单漏洞。在前端语言中单纯的HTML,CSS,JS存在的漏洞是非常少的,只有当这些前端语言混合在一起使用时才会产生很多的漏洞,下面就是介绍的HTML,CSS混合在一起使用时存在的一个漏洞。 所谓点击劫持,简单的来讲就是你打开一个网页你当前点击的内容与你在网页上看都的内容不相符。具体理解看下方代码: <!DOCTYPE html> <html lang="en"> <head>
点击劫持攻击
qq_45666837的博客
05-27 285
点击劫持攻击 点击劫持攻击允许恶意页面 以用户的名义 点击"受害网页" 原理 我们以 FaceBook 为例子,解释点击劫持是如何完成的: 访问者被恶意页面吸引。怎样吸引的不重要。 页面上有一个看起来无害的链接(例如:“变得富有”或者“点我,超好玩!”)。 恶意页面在该链接上方放置了一个透明的 <iframe>,其 src 来自于 facebook.com,这使得“点赞”按钮恰好位于该链接上面。这通常是通过 z-index 实现的。 用户尝试点击该链接时,实际上点击的是“点赞”按钮。 案例
点击劫持
判断一个点是否在闭合曲线内
03-14 185
点击劫持(clickjacking): 点击劫持实际上是一种视觉欺骗,攻击者将一个透明的iframe覆盖在一个网页上,通过调整iframe的位置,诱使用户在页面上进行操作,在不知道情的情况下用户恰好点击在iframe上的功能按钮上。 防御 使用http中的x-frame-option,她有三个可能的: DENY: 拒绝浏览器加载任何的iframe SOMEORIGIN: ifame页面的地址...
网站防止被劫持
小白的博客
04-21 247
网站怎么防止运营商的DNS劫持? 在 html 页面的 head 区域加入以下代码: <meta http-equiv="Content-Security-Policy" content="script-src 'self' data: 'unsafe-eval' 'unsafe-inline'; frame-src 'self'" /> 其实也就是定义csp的, 一般来说...
django-设置X-Frame-Options响应防止点击劫持攻击
adminwg的博客
10-16 1859
当恶意网站欺骗用户点击另一个网站的隐藏元素时,就会发生这种类型的攻击,该元素已被加载到一个隐藏的框架或 iframe 中。现代浏览器支持X-Frame-OptionsHTTP ,它表明是否允许在框架或 iframe 中加载资源。如果你想为这个设置任何其他的,可以在配置文件中设置其他的。HTTP 只有在响应中还没有出现的情况下,才会被中间件或视图装饰者设置。默认情况下,该中间件将为每个传出的响应设置。”按钮,并在不知情的情况下购买该商品。要为你的网站的所有响应设置相同的。”按钮,并在一个透明的。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值