Clickjacking Protection

最新推荐文章于 2022-10-16 09:07:43 发布
最新推荐文章于 2022-10-16 09:07:43 发布
阅读量1.1k 收藏
点赞数
分类专栏: Python

原文:https://docs.djangoproject.com/en/1.8/ref/clickjacking/


The clickjacking middleware and decorators provide easy-to-use protection againstclickjacking. This type of attack occurs when a malicious site tricks a user into clicking on a concealed element of another site which they have loaded in a hidden frame or iframe.

通过点击劫持middleware和decorator可以很轻松的抵御点击劫持攻击。某个恶意网站将另外一个网站的页面(比如x.html)以iframe的方式覆盖在自己的网页(比如y.html)上,然后将x.html通过css设为透明,这样用户看到的是恶意网站的y.html页面,但点击时真正响应事件的是x.html,这种恶意行为即为点击劫持。

An example of clickjacking

Suppose an online store has a page where a logged in user can click “Buy Now” to purchase an item. A user has chosen to stay logged into the store all the time for convenience. An attacker site might create an “I Like Ponies” button on one of their own pages, and load the store’s page in a transparent iframe such that the “Buy Now” button is invisibly overlaid on the “I Like Ponies” button. If the user visits the attacker’s site, clicking “I Like Ponies” will cause an inadvertent click on the “Buy Now” button and an unknowing purchase of the item.

假如用户登陆到某个电商网站后,只要其点击了某个商品下方的“立即购买”,后台就会自动的完成提交订单、支付等一系列操作,而且为了方便,用户可能会使自己的帐号处于登陆状态,比如登陆时点击了“下次自动登陆”。恶意网站可能在某个页面上有个“我喜欢小矮马”的按钮,且上述网店的页面以iframe的方式覆盖在了当前页面上(透明的,用户看不到),“立即购买”的按钮位置正好与“我喜欢小矮马”重合,那么如果用户访问了恶意网站的这个页面,并点击了“我喜欢小矮马”按钮,那么就触发了“立即购买”对应的时间,然后就会莫名其妙的购买了某件商品。

Preventing clickjacking

Modern browsers honor the X-Frame-Options HTTP header that indicates whetheror not a resource is allowed to load within a frame or iframe. If the response contains the header with a value of SAMEORIGIN then the browser will only load the resource in a frame if the request originated from the same site. If the header is set to DENY then the browser will block the resource from loading in a frame no matter which site made the request.

现代浏览器在HTTP的header中加入了X-Frame-Options选项,浏览器可以根据这个选项来决定某个资源是否允许通过frame或iframe嵌套到别的网站中。如果响应头中将其值设置为了SAMEORIGIN,则告诉浏览器该资源仅允许被嵌套在同源网站,如果值为DENY,则在任何位置的嵌套都是不允许的。

Django provides a few simple ways to include this header in responses from your site:

  1. A simple middleware that sets the header in all responses.
  2. A set of view decorators that can be used to override the middleware or to only set the header for certain views.

The X-Frame-Options HTTP header will only be set by the middleware or view decorators if it is not already present in the response.

Django提供了一些简单易用的方式来把该选项加到你网站response头里:

  1. 通过中间件,该头部会加在所有响应头里
  2. 通过装饰器对指定的view加该头部(装饰器优先级高于中间件)

目前为止,只能通过以上方式来添加X-Frame-Options头。

How to use it

在所有的reponse里都加上X-Frame-Options

To set the same X-Frame-Options value for all responses in your site, put'django.middleware.clickjacking.XFrameOptionsMiddleware' to MIDDLEWARE_CLASSES:

MIDDLEWARE_CLASSES = (
    ...
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    ...
)

This middleware is enabled in the settings file generated by startproject.

在MIDDLEWARE_CLASSES里加入django.middleware.clickjacking.XFrameOptionsMiddleware中间件,那所有的响应头里都会包含X-Frame-Options。在执行startproject后该选项即生效。

By default, the middleware will set the X-Frame-Options header to SAMEORIGIN for every outgoingHttpResponse. If you wantDENY instead, set the X_FRAME_OPTIONS setting: 

X_FRAME_OPTIONS = 'DENY'

X-Frame-Options的默认值是 SAMEORIGIN,如果想改成DENY,可以在settings.py中进行设置: 

X_FRAME_OPTIONS = 'DENY'


When using the middleware there may be some views where you do not want the X-Frame-Options header set. For those cases, you can use a view decorator that tells the middleware not to set the header:

如果你不想在某些view的响应里加X-Frame-Options,那么可以通过在view上加装饰器:xframe_options_exempt来搞定。代码如下:

from django.http import HttpResponse
from django.views.decorators.clickjacking import xframe_options_exempt

@xframe_options_exempt
def ok_to_load_in_a_frame(request):
    return HttpResponse("This page is safe to load in a frame on any site.")


在view级别上加X-Frame-Options

主要是通过一系列的装饰器来实现。

from django.http import HttpResponse
from django.views.decorators.clickjacking import xframe_options_deny
from django.views.decorators.clickjacking import xframe_options_sameorigin

@xframe_options_deny
def view_one(request):
    return HttpResponse("I won't display in any frame!")

@xframe_options_sameorigin
def view_two(request):
    return HttpResponse("Display in a frame if it's from the same origin as me.")

Note that you can use the decorators in conjunction with the middleware. Use ofa decorator overrides the middleware.

注意,装饰器和中间件可以同时使用,但装饰器的优先级高于中间件。

Limitations

The X-Frame-Options header will only protect against clickjacking in a modern browser. Older browsers will quietly ignore the header and need otherclickjacking prevention techniques.

X-Frame-Options仅支持一些比较新的浏览器,版本较老的浏览器可以通过其他技术来方式点击劫持。

支持X-Frame-Options的浏览器

  • Internet Explorer 8+
  • Firefox 3.6.9+
  • Opera 10.5+
  • Safari 4+
  • Chrome 4.1+

djskl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击
weixin_47083537的博客
07-28 1979
为什么要配置HTTP响应头? 不知道各位有没有被各类XSS攻击、点击劫持 (ClickJacking、 frame 恶意引用等等方式骚扰过,百度联盟被封就有这些攻击的功劳在里面。为此一直都在搜寻相关防御办法,至今效果都不是很好,最近发现其实各个浏览器本身提供了一些安全相关的响应头,使用这些响应头一般只需要修改服务器配置即可,不需要修改程序代码,成本很低。至于具体的效果只能是拭目以待了,但是感觉还是有一定的效果的。 而这些HTTP响应头在我们部署 Nginx 的时候经常会被忽略掉,个人感觉这
no-clickjacking
05-16
Google Chrome扩展程序v1.1: Firefox扩展v1.1: Safari Extension v1.1: 变更记录 2013-11-19 更新了不透明度检查,将所有小于0.1的不透明度视为已隐藏。 某些站点已使用负值(-1)或非零值(0.01)以避免被发现...
Python入门自学进阶-Web框架——13、Django实践小项目3
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
06-10 235
左右互选框,iframe模拟实现JSONP
Django的X-Frame-Options设置
cn_newer
01-06 9209
Django的X-Frame-Options设置1. 事件起因2. 有关X-Frame-Options2.1 什么是X-Frame-Options2.2 X-Frame-Options选项3.Django有关配置3.1 Django默认的配置3.2 Django总体配置3.3 指定的网页配置4. 参考内容 1. 事件起因 事件的起因是这样的,我在使用Django服务的时候,想在一个已经存在某个按钮...
网络安全-点击劫持(ClickJacking)的原理、攻击及防御
关注网络安全、云原生安全
08-15 9861
简介 2008年,安全专家Robert Hansen 与Jeremiah Grossman发现了一种被他们称为点击劫持(Cli)的攻击 原理 攻击 防御
clickjacking:X-frame-options header missing 漏洞解决办法
weixin_33762321的博客
11-30 826
Apache配置X-Frame-Options ,httpd.conf 添加Header always append X-Frame-Options SAMEORIGIN2.在项目里添加过滤器;/*** Software published by the Open Web Application Security Project (http://www.owasp.o...
Clickjacking Test-crx插件
04-02
语言:English Offcon Info Security的点击劫持测试 此chrome扩展程序将检查是否可以对当前网页进行格式化,甚至生成用于安全报告的概念证明HTML。
web安全之ClickJacking
10-31
中国科学院大学研究生课件,由网络安全名师教授,入门深入必备
“点击劫持”测试「Clickjacking Test」-crx插件
03-09
通过Offcon Info Security进行的Clickjacking测试。 此chrome扩展程序将检查是否可以对当前网页进行格式化,甚至生成用于安全报告的概念证明HTML。 支持语言:English
web-security-fundamentals::school:Mike的网络安全课程
04-28
这是用于的 课程的项目。 课程大纲和幻灯片 有几块? 用于Sass编译的 ... 作为CLI运行的基础 设定 为了准备好此课程,您需要确保已安装一些内容。... 您将需要安装相对较新的node.js版本(最好是v4.5或更高版本,v7)。...
漏洞修复:Clickjacking: X-Frame-Options header missing
CutelittleBo的博客
01-27 4132
描述 Clickjacking (User Interface redress attack, UI redress attack, UI redressing) is a malicious technique of tricking a Web user into clicking on something different from what the user perceives they are clicking on, thus potentially revealing confidentia
Web安全:X-XSS-Protection头(防XSS攻击设置)
热门推荐
TivonaLH的博客
01-11 3万+
1.参考资料链接:https://www.freebuf.com/articles/web/138769.html 2.X-XSS-Protection头的三个值 0: 表示关闭浏览器的XSS防护机制 1:删除检测到的恶意代码, 如果响应报文中没有看到X-XSS-Protection 字段,那么浏览器就认为X-XSS-Protection配置为1,这是浏览器的默认设置 1; mode=bl...
IBM AppScan 安全扫描:Missing Content-Security-Policy ;X-Content-Type-Options ;X-XSS-Protection响应头
崔向阳@李晓的博客
12-06 2万+
一问题:IBM AppScan 安全扫描提示: 二问题解决: 1. X-XSS-Protection 目的 这个header主要是用来防止浏览器中的反射性xss。现在,只有IE,chrome和safari(webkit)支持这个header。 正确的设置 0 – 关闭对浏览器的xss防护 1 – 开启xss防护 1; mode=block – 开启...
html加载PDF以及django配置解决X-Frame-Options跨域问题
陈守一的博客
08-07 1277
在html中加载pdf, 方式为: <object id="pdf_reader_object" data="http://localhost:8080/teacher/scan_report/20190801.pdf" type="application/pdf" target ="_ top" style="overflow:auto"> <a href="htt...
Django项目当中iframe遇到的问题,无偿献给大家
CarlosMuriel的博客
07-17 1758
时隔多年,又开始拿起Django项目去开发一个小网站,遇到iframe嵌套网页访问被拒绝访问请求的问题,查阅资料这个问题是可以解决的。 第一步:settings.py文件添加代码:X_FRAME_OPTIONS = 'SAMEORIGIN' X_FRAME_OPTIONS = 'SAMEORIGIN' 第二步在views.py文件函数加装饰器,导入:from django.views.decorators.clickjacking import xframe_options_exempt .
Clickjacking简单介绍
D的专栏
11-07 467
转自:http://drops.wooyun.org/papers/104
django-设置X-Frame-Options响应头防止点击劫持攻击
adminwg的博客
10-16 1758
当恶意网站欺骗用户点击另一个网站的隐藏元素时,就会发生这种类型的攻击,该元素已被加载到一个隐藏的框架或 iframe 中。现代浏览器支持X-Frame-OptionsHTTP 头,它表明是否允许在框架或 iframe 中加载资源。如果你想为这个头设置任何其他的值,可以在配置文件中设置其他的值。HTTP 头只有在响应中还没有出现的情况下,才会被中间件或视图装饰者设置。默认情况下,该中间件将为每个传出的响应设置。”按钮,并在不知情的情况下购买该商品。要为你的网站的所有响应设置相同的。”按钮,并在一个透明的。
代码安全_弱点(脆弱性)分析 CWE_20200807
sun0322
08-13 1080
■其他资料 https://blog.csdn.net/sxzlc/article/details/105202979 ■分析对象code ・352 http://cwe.mitre.org/data/definitions/352.html ・693 http://cwe.mitre.org/data/definitions/693.html ・16 http://cwe.mitre.org/data/definitions/16.html ・...
掌握漏洞赏金技巧
weixin_26636643的博客
09-27 1511
Bug bounties are a great way to gain experience in cybersecurity and earn some extra bucks. I’m a huge proponent for participating in bug bounties as your way into the cybersecurity industry. 错误赏金是获得网...
Clickjacking: X-Frame-Options header
最新发布
01-10
Clickjacking是一种网络攻击,攻击者通过在一个网页上覆盖一个透明的iframe来欺骗用户点击一个看似无害的按钮或链接,实际上却触发了隐藏的恶意操作。为了防止Clickjacking攻击,可以使用X-Frame-Options头部来限制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值