1、各种点击劫持
点击劫持:一种视觉上的欺骗手段,使用一个透明的、不可见的iframe,覆盖在网页上,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击透明的iframe页面。
Flash点击劫持:攻击者制作一个flash游戏,诱使用户来玩这个游戏,通过诱导用户多次点击,以完成一些较为复杂的流程。
图片覆盖攻击:通过调整图片的style使得图片覆盖在他所指定的任意位置,以覆盖某些特殊内容,达到欺骗用户的目的。
拖拽劫持与数据窃取
ClickJacking 3.0 触屏劫持:TapJacking
2、防御ClickJacking
针对传统ClickJacking,一般通过禁止跨域的iframe来防范。
frame busting
X-Frame-Options
3、HTML5 新标签
新标签可能绕过XSS Filter,达到XSS攻击的目的;
iframe的sandbox极大的增强了应用使用iframe的安全性;
Link Types:noreferer 可以保护敏感信息和隐私;
canvas 可以在页面中直接操作图片对象,也可以操作像素,构造出图片区域;
4、其他安全问题
Cross-Origin Resource Sharing
通过配置access-control-allow-origin,可加强跨域访问安全性
postMessage 跨窗口传递消息 不受同源策略限制,会使XSS Payload更加灵活
Web Storage 受同源策略限制,让web开发更加灵活,但同时也更容易被XSS Payload利用;
961
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
