点击劫持漏洞解决( Clickjacking: X-Frame-Options header missing)

最新推荐文章于 2024-06-06 09:17:47 发布
最新推荐文章于 2024-06-06 09:17:47 发布
阅读量9.9k 收藏 5
点赞数 1
分类专栏: 系统 javaee java tomcat 文章标签: tomcat java web springmvc
java 同时被 3 个专栏收录
30 篇文章 0 订阅
订阅专栏
javaee
25 篇文章 0 订阅
订阅专栏
系统
15 篇文章 0 订阅
订阅专栏

点击劫持漏洞

  X-Frame-Options HTTP 响应头, 可以指示浏览器是否应该加载一个 iframe 中的页面。 网站可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从而防止点击劫持

方法一:常见的比如使用js,判断顶层窗口跳转:

1

2

3

4

5

6

js 代码:

(function () {

    if (window != window.top) {

        window.top.location.replace(window.location); //或者干别的事情

    }

})();

一般这样够用了,但是有一次发现失效了,看了一下人家网站就是顶层窗口中的代码,发现这段代码:

1

2

3

js 代码:

var location = document.location;

// 或者 var location = "";

轻轻松松被破解了,悲剧。

注:此方式破解对IE6,IE7,IE9+、Chrome、firefox无效

 

方法二:meta 标签:基本没什么效果,所以也放弃了:

1

2

html 代码:

<meta http-equiv="Windows-Target" contect="_top">

 

方法三:使用HTTP 响应头信息中的 X-Frame-Options属性

使用 X-Frame-Options 有三个可选的值:

  • DENY:浏览器拒绝当前页面加载任何Frame页面
  • SAMEORIGIN:frame页面的地址只能为同源域名下的页面
  • ALLOW-FROM:origin为允许frame加载的页面地址

换一句话说,如果设置为 DENY,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为 SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套

绝大部分浏览器支持:

FeatureChromeFirefox (Gecko)Internet ExplorerOperaSafari
Basic support4.1.249.10423.6.9 (1.9.2.9)8.010.54.0

 

配置 Apache

配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 'site' 的配置中:

1

Header always append X-Frame-Options SAMEORIGIN

 

配置 nginx

配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到 'http', 'server' 或者 'location' 的配置中:

1

add_header X-Frame-Options SAMEORIGIN;

 

配置 IIS

配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:

1

2

3

4

5

6

7

8

9

10

11

<system.webServer>

  ...

 

  <httpProtocol>

    <customHeaders>

      <add name="X-Frame-Options" value="SAMEORIGIN" />

    </customHeaders>

  </httpProtocol>

 

  ...

</system.webServer>

 

结果

在 Firefox 尝试加载 frame 的内容时,如果 X-Frame-Options 响应头设置为禁止访问了,那么 Firefox 会用 about:blank 展现到 frame 中。也许从某种方面来讲的话,展示为错误消息会更好一点。

 

以上转载自:https://www.cnblogs.com/lianzhilei/p/6429514.html

oatmeal2015
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iis、apache、nginx使用X-Frame-Options防止网页被Frame解决方法
09-30
X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持
X-Frame-Options头未设置 防止网页被iframe内框架调用
09-30
有时候为了防止网页被别人的网站iFrame,我们可以通过在服务器设置HTTP头部中的X-Frame-Options信息,需要的朋友可以参考下
X-Frame-Options 报头缺失和未实施 HTTP 严格传输安全 (HSTS) 低危漏洞修复
最新发布
zz12345600354的博客
06-06 1028
点击劫持(用户界面矫正攻击、UI 矫正攻击、UI 矫正)是一种恶意技术,诱使 Web 用户点击与用户认为其单击的内容不同的内容,从而在单击看似无害的网页时有可能导致机密信息泄露或计算机被控制。服务器未返回 X-Frame-Options 报头,这意味着此网站存在遭受点击劫持攻击的风险。响应报头可被用于指示是否应允许浏览器在框架或 iframe 内呈现页面。站点可以通过确保其内容中未嵌入其他网站来避免点击劫持攻击。影响影响取决于受影响的 Web 应用程序。
漏洞修复:Clickjacking: X-Frame-Options header missing
CutelittleBo的博客
01-27 4192
描述 Clickjacking (User Interface redress attack, UI redress attack, UI redressing) is a malicious technique of tricking a Web user into clicking on something different from what the user perceives they are clicking on, thus potentially revealing confidentia
Clickjacking: X-Frame-Options header missing
ChangKA的博客
06-03 2566
使用的是nginx里解决的方法 在nginx.conf里添加 add_header X-Frame-Options SAMEORIGIN;
Web应用安全之点击劫持CLICKJACKING)与X-FRAME-OPTIONS HEADER
weixin_34115824的博客
03-19 534
点击劫持clickjacking)与X-Frame-Options Header 文/玄魂            目录       前言...    1.1 点击劫持clickjacking attacks)...    1.2  Frame Bursters.    1.3 The X-Frame-Options.    1.3.1 X-Fra...
[转]漏洞修复:Clickjacking: X-Frame-Options header missing-CSDN博客
Admans的专栏
01-29 222
在http、server、location下添加 add_header X-Frame-Options SAMEORIGIN;原文:https://blog.csdn.net/CutelittleBo/article/details/122722044。此方案会顺带解决 Cross-Frame Scripting 的漏洞。版权声明:本文为作者原创文章,转载请附上博文链接!作者:SangBigYe。
X-Frame-Options头缺失漏洞修复-esapi.zip
07-17
在网络安全领域,X-Frame-Options头是一种重要的安全机制,用于防止点击劫持Clickjacking)攻击。点击劫持是黑客通过透明或半透明的iframe层,诱使用户在不知情的情况下执行恶意操作,例如点击按钮、提交表单等。...
X-Frame-Options相关文件
08-27
标题中的“X-Frame-Options相关文件”指出这个压缩包包含与防止点击劫持相关的资料。点击劫持Clickjacking)是一种网络安全攻击方式,攻击者通过透明或半透明的iframe层来诱骗用户在不知情的情况下点击恶意链接或...
x-frame-bypass:绕过X帧选项
05-10
在网络安全领域,X-Frame-Options 是一个重要的HTTP响应头,用于防止点击劫持Clickjacking)攻击。点击劫持是一种恶意技术,攻击者通过将目标网站嵌入到一个透明或半透明的IFrame中,使用户在不知情的情况下进行...
web漏洞-缺少X-Frame-Options标头
热门推荐
qq_35578446的博客
06-13 1万+
当X-Frame-Options HTTP 响应头丢失的时候,攻击者可以伪造一个页面,该页面使用前端技术精心构造一些诱惑用户点击的按钮、图片,该元素下方就是一个iframe标签,当用户点击后上层的元素后,就相当于点击了iframe标签引入的网页页面。......
Tomcat解决Web漏洞Clickjacking: X-Frame-Options header missing
meicury的博客
04-17 3818
Tomcat解决Web漏洞Clickjacking: X-Frame-Options header missingtomcat的conf目录下的web.xml配置中增加以下配置 <filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apac...
渗透测试成长篇-点击劫持漏洞
m0_51186260的博客
08-26 4743
1.前言 点击劫持就是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击了透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上,攻击者常常配合社工手段完成攻击。(一般能被劫持就是网站缺少X-FRAME-OPTIONS) ************ 点击劫持一般在渗透测试中比较常见 2.过程 如何测试,有两种方法,今天就讲一种最简单常用的方式(bur.
点击劫持漏洞:使用X-Frame-Options 解决方法(应用tomcat
weixin_33895016的博客
02-27 1535
发现项目中存在X-Frame-Options 低危漏洞: 使用 X-Frame-OptionsEDIT X-Frame-Options 有三个值: DENY表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。SAMEORIGIN表示该页面可以在相同域名页面的 frame 中展示。ALLOW-FROMuri表示该页面可以在指定来源的 frame 中展示。 ...
X-Frame-Options响应头缺失漏洞
m0_47005349的博客
05-31 1074
mozilla firefox官方文档: https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options
防止点击劫持的http头部 `X-Frame-Options` 缺失漏洞解决
li646495946的博客
06-10 8380
关于http头部 X-Frame-Options 缺失漏洞解决 1,在Nginx的nginx.conf中配置 add_header X-Frame-Options SAMEORIGIN; X-Frame-Options有三个可选项: DENY // 拒绝任何域加载 SAMEORIGIN // 允许同源域下加载 ALLOW-FROM // 可以定义允许frame加载的页面地址 ...
clickjacking:X-frame-options header missing 漏洞解决办法
weixin_33762321的博客
11-30 846
Apache配置X-Frame-Options ,httpd.conf 添加Header always append X-Frame-Options SAMEORIGIN2.在项目里添加过滤器;/*** Software published by the Open Web Application Security Project (http://www.owasp.o...
X-Frame-Options(点击劫持) 网页劫持漏洞
隔壁老瓦的专栏
06-28 3578
漏洞描述: 点击劫持ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面。如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网
hao123劫持chrome
09-23
hao123劫持是指浏览器的标签页或主页被hao123网址替换,用户在打开浏览器或新建标签页时会被自动重定向到hao123网页。这通常是由恶意软件或浏览器插件所引起的。如果你遇到了这个问题,可以尝试以下解决方法: 1. 检查浏览器的快捷方式是否被修改:右键点击浏览器的桌面快捷方式,选择“属性”,在“目标”字段中查看是否添加了奇怪的网址。如果有,请删除该网址并保存。 2. 清除浏览器的缓存和Cookie:打开浏览器的设置菜单,找到“高级设置”或“隐私和安全”选项,选择“清除浏览数据”或类似的选项,勾选“缓存”和“Cookie和其他站点数据”,点击清除数据按钮。 3. 检查浏览器的扩展和插件:打开浏览器的扩展或插件管理界面,禁用或删除所有不熟悉或可疑的扩展和插件。 4. 运行安全软件进行全面扫描:使用可信赖的安全软件对电脑进行全盘扫描,以查找并清除可能存在的恶意软件。 5. 重置浏览器设置:如果以上方法都没有解决问题,可以尝试重置浏览器的设置到默认状态。具体步骤可以在浏览器的帮助文档或官方网站上找到。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值