JavaScript 的点击劫持(Clickjacking)

最新推荐文章于 2024-03-20 10:00:00 发布
最新推荐文章于 2024-03-20 10:00:00 发布
阅读量2k 收藏 26
点赞数 22
分类专栏: JavaScript保姆级教程 文章标签: javascript 开发语言 ecmascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41152573/article/details/136076058
版权

🧑‍🎓 个人主页:《爱蹦跶的大A阿》

🔥当前正在更新专栏:《VUE》 、《JavaScript保姆级教程》《krpano》《krpano中文文档》

​ 

✨ 前言

        点击劫持是一种恶意攻击,攻击者会在用户不知情的情况下诱使用户点击他们想要点击的元素。通常情况下,攻击者会将一个透明的 iframe 覆盖在合法的网页上,并将其放置在用户可能点击的位置。当用户点击该位置时,他们实际上是在点击 iframe 中的恶意链接。

点击劫持是一种非常严重的网络安全威胁,它可能导致以下后果:

  • 窃取用户的个人信息:攻击者可以利用点击劫持来窃取用户的登录凭据、信用卡信息和其他敏感信息。
  • 感染用户的设备:攻击者可以利用点击劫持来诱使用户下载恶意软件或访问恶意网站,从而感染用户的设备。
  • 造成经济损失:攻击者可以利用点击劫持来进行欺诈活动,例如将用户重定向到虚假广告页面或钓鱼网站,从而造成用户的经济损失。

防御点击劫持至关重要。本章将介绍点击劫持的原理、常见场景、危害以及防御措施。我们将学习以下内容:

  • 点击劫持的原理:我们将了解攻击者如何利用技术手段实现点击劫持。
  • 点击劫持的常见场景:我们将了解点击劫持在哪些情况下会被使用。
  • 点击劫持的危害:我们将了解点击劫持可能造成的后果。
  • 防御点击劫持的措施:我们将学习如何防御点击劫持,包括使用 HTTP 头、JavaScript 代码和其他安全措施。

本章还将提供一些代码示例,帮助您理解如何防御点击劫持。

✨ 正文

简介

点击劫持是一种恶意攻击,攻击者会在用户不知情的情况下诱使用户点击他们想要点击的元素。通常情况下,攻击者会将一个透明的 iframe 覆盖在合法的网页上,并将其放置在用户可能点击的位置。当用户点击该位置时,他们实际上是在点击 iframe 中的恶意链接。

点击劫持的常见场景:

  • 在广告中插入恶意链接
  • 在钓鱼网站上伪造登录按钮
  • 在社交媒体上发布虚假信息

点击劫持的危害:

  • 窃取用户的个人信息
  • 感染用户的设备
  • 造成经济损失

如何防御点击劫持

以下是一些防御点击劫持的措施:

  • 使用 X-Frame-Options HTTP 头: 该头可以指示浏览器如何处理 iframe。
  • 使用 Content-Security-Policy HTTP 头: 该头可以限制 iframe 的来源。
  • 使用 JavaScript 来检查 iframe: 可以使用 JavaScript 来检查 iframe 的来源和内容。

代码示例

以下是一些防御点击劫持的代码示例:

使用 X-Frame-Options HTTP 头:

// 允许 iframe 在同一来源中显示
response.setHeader('X-Frame-Options', 'sameorigin');

// 阻止 iframe 显示
response.setHeader('X-Frame-Options', 'deny');

使用 Content-Security-Policy HTTP 头:

// 允许 iframe 仅从同一来源加载
response.setHeader('Content-Security-Policy', "frame-ancestors 'self'");

// 允许 iframe 从特定来源加载
response.setHeader('Content-Security-Policy', "frame-ancestors 'self' https://www.example.com");

 使用 JavaScript 来检查 iframe:

// 检查 iframe 的来源
function checkIframeSource(iframe) {
  var src = iframe.getAttribute('src');
  if (!src.startsWith('https://www.example.com')) {
    // 阻止 iframe 显示
    iframe.style.display = 'none';
  }
}

// 检查所有 iframe
var iframes = document.getElementsByTagName('iframe');
for (var i = 0; i < iframes.length; i++) {
  checkIframeSource(iframes[i]);
}

✨ 结语

        点击劫持是一种严重的网络安全威胁。可以通过使用 X-Frame-Options HTTP 头、Content-Security-Policy HTTP 头和 JavaScript 来防御点击劫持。

以下是一些需要进一步学习的主题:

  • 跨域通信
  • 安全性

练习:

  • 尝试使用 X-Frame-Options HTTP 头来阻止 iframe 显示。
  • 尝试使用 Content-Security-Policy HTTP 头来限制 iframe 的来源。
  • 尝试使用 JavaScript 来检查 iframe 的来源和内容。

爱蹦跶的大A阿
关注
  • 22
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
点击劫持ClickJacking
qq_56327824的博客
03-30 1万+
点击劫持ClickJacking) 什么是点击劫持 点击劫持是一种视觉上的欺骗手段。攻者使用一个透明的,不可见的iframe,覆盖在一个网页上,然后诱导使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱导用户恰巧点击在iframe页面的一些功能性按键上 不懂iframe是干什么的同学,自己补充一下 利用iframe <!DOCTYPE html> <html lang="en"> <head>
JavaScript的函数劫持
03-14
NULL 博文链接:https://hongan.iteye.com/blog/287081
【burpsuite安全练兵场-客户端14】点击劫持-5个实验(全)
最新发布
m0_59598029的博客
03-20 581
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-
浅谈javascript函数劫持
03-14 308
  2. 设置陷阱实时捕捉跨站测试者,搞跨站的人总习惯用alert来确认是否存在跨站,如果你要监控是否有人在测试你的网站xss的话,可以在你要监控的页面里hook alert函数,记录alert调用情况:  当然,你这个函数要加到页面的最开始,而且还要比较隐蔽一些,赫赫,你甚至可以使alert不弹框或者弹个警告框,让测试者抓狂一把。  4. 灵活的使用js劫持辅助你的页面代码分析工
JavaScript函数劫持
weixin_33804582的博客
04-14 283
一、为什么我会写这篇文章 这篇文章其实是在一个偶然的机会下发现了居然有JavaScript劫持这种东西,虽然这种东西在平时用的比较少,而且一般实用价值不高,但是在一些特殊的情况下还是要使用到的,所以在这里我就简单的介绍一下 不知道你们在平时有没有注意到这样的一种情况就是每当使用alert()方法的时候,都会感觉这样的方法太过的单调,像加个样式或者是什么的。下面我们就来讲解一下 二、一个关于J...
JavaScript劫持
weixin_53596260的博客
07-14 801
JavaScript劫持
JavaScript——劫持
z_2532040197的博客
06-15 2239
概念:函数劫持,顾名思义,即在一个函数运行之前把它劫持下来,添加我们想要的功能。当这个函数实际运行的时候,它已经不是原本的函数了,而是带上了被我们添加上去的功能。这也是我们常见的钩子函数的原理之一。...
点击劫持漏洞案例ppt
01-02
点击劫持---clickjacking
点击劫持”测试「Clickjacking Test」-crx插件
03-09
通过Offcon Info Security进行的Clickjacking测试。 此chrome扩展程序将检查是否可以对当前网页进行格式化,甚至生成用于安全报告的概念证明HTML。 支持语言:English
no-clickjacking
05-16
点击劫持 Google Chrome扩展程序v1.1: Firefox扩展v1.1: Safari Extension v1.1: 变更记录 2013-11-19 更新了不透明度检查,将所有小于0.1的不透明度视为已隐藏。 某些站点已使用负值(-1)或非零值(0.01)...
clickjackingpoc:点击劫持的概念证明
05-24
点击劫持PoC 旨在使您的点击劫持事件变得更好,更轻松的工具。 更新 现在,在服务器日志中捕获信誉,并添加一条消息,要求提供赏金! 概述 一种基于Web的ClickJacking PoC工具。 跑步 确保您已安装php(默认安装在...
浅谈javascript函数劫持[转自xfocus]第1/3页
01-19
一、概述 javascript函数劫持,也就是老外提到的javascript hijacking技术。最早还是和剑心同学讨论问题时偶然看到的一段代码,大概这样写的: window.alert = function(s) {}; 觉得这种用法很巧妙新颖,和API Hook异曲同工,索性称之为javascript function hook,也就是函数劫持。通过替换js函数的实现来达到劫持这个函数调用的目的,一个完整的hook alert函数例子如下: <!–1.htm–> 代码如下: [removed] <!– var _alert = alert;
WEB应用程序点击劫持漏洞研究及防御方法
12-11
web程序劫持漏洞及防御的方法。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
Clickjacking Test-crx插件
04-02
语言:English Offcon Info Security的点击劫持测试 此chrome扩展程序将检查是否可以对当前网页进行格式化,甚至生成用于安全报告的概念证明HTML。
JavaScript中的劫持
qq_47455650的博客
07-07 716
this劫持 运行结果:定义式的函数在设计的时候就指定this 运行结果:
object.defineproperty数据劫持
y_programmer_ape的博客
10-15 921
object.defineproperty() 1.定义:该方法是在对象上定义一个新属性,或者修改一个对象的现有属性,并返回此对象。监听对象下的某一个属性,做数据劫持处理。 2.语法:Object.defineProperty(obj, prop, descriptor) (1) 参一:要定义属性的对象。 (2) 参二:要定义或修改的属性的名称或 Symbol (被监听的属性)。 (3) 参三:要定义或修改的属性描述符(存取描述符:options{getter,setter})。 (4) 返回值:被传递给函
javascript表单劫持用户密码(后门免杀)
wodafa的博客
05-19 3189
试验开始 javascript表单劫持 其实应该可以留有很多后门,但是我暂时只想到这一种,还希望社区的大神能够完善这篇文章·~~~~ 原理:在正常的登陆页面,留下一段恶意JS代码,在登陆账号密码的同时,也会把账号密码悄悄的发送到我们的站点上~~~ test.html 正常页面 test2.php 用来验证账号密码数据的正常页面 test3.
前端开发中的js数据劫持
qq_48845432的博客
09-07 308
前端数据劫持是一种通过重写属性的 getter 和 setter 方法,实现对对象属性的监听和控制的技术。它可以用于实现数据绑定和响应式系统,让开发者能够方便地对数据进行监控和操作。数据劫持常与观察者模式等技术结合使用,提供了一种灵活且高效的方式来管理和更新数据,增强了前端应用的交互性和响应性。前端数据劫持是一种通过重写属性的 getter 和 setter 方法,实现对对象属性的监听和控制的技术。下面是一个简单的案例,使用数据劫持实现对对象属性的监听和控制。
Clickjacking: X-Frame-Options header
01-10
Clickjacking是一种网络攻,攻者通过在一个网页上覆盖一个透明的iframe来欺骗用户点击一个看似无害的按钮或链接,实际上却触发了隐藏的恶意操作。为了防止Clickjacking,可以使用X-Frame-Options头部来限制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

爱蹦跶的大A阿

你的打赏就是我蹦跶的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值