Web服务器点击劫持(ClickJacking)的安全防范

最新推荐文章于 2022-11-29 11:43:03 发布
最新推荐文章于 2022-11-29 11:43:03 发布
阅读量4.5k 收藏 4
点赞数
分类专栏: 【安全和逆向】 文章标签: web 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stemq/article/details/54318125
版权

一.介绍

ClickJacking即点击劫持,是一种将恶意代码经过处理使其变成透明、不可见的iframe,并将其覆盖在一个网页上,然后诱使用户在该网页上进行点击操作。通过改变iframe的在页面的位置,可以诱使用户正好点击我们设置好的透明iframe。

二.防御

1.Frame Busting

这种方式是通过写JavaScript来禁止iframe嵌套,因为可以轻易饶过,所以这里不介绍了。具体攻防参照

http://seclab.stanford.edu/websec/framebusting/framebust.pdf

2.设置HTTP请求头(X-Frame-Options)

X-Frame-Options HTTP 响应头,可以指示浏览器是否应该加载一个iframe中的页面。网站可以通过设置X-Frame-Options阻止站点内的页面被其他页面嵌入从而防止点击劫持。

X-Frame-Options共有三个值:

DENY:任何页面都不能被嵌入到iframe或者frame中。

SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。

ALLOW-FROM URI:页面自能被指定的Uri嵌入到iframe或frame中。

例:以限制任何页面都不能被嵌入到iframe为例,分别在apache、IIS和Nginx中配置。

(1).apache配置

修改httpd.conf,添加下面内容。

Header always append X-Frame-Options DENY

如果同一台apache服务器上有多个站点,只想针对其中一个站点进行配置,可以修改.htaccess文件,添加如下内容:

Header append X-FRAME-OPTIONS "DENY"

(2).IIS配置

在web站点的web.config中配置。

<system.webServer>
  ......
  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="DENY" />
    </customHeaders>
  </httpProtocol>
  ......
</system.webServer>

(3).Nginx配置

修改nginx.conf,在server下添加下面内容。

add_header X-Frame-Options "DENY";

添加完成如下:

server{
	listen 80;
	server_name www.dqiang.com;
	index index.html;
	add_header X-Frame-Options "DENY";
}
享叔
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
.NETCore WebApi中实现异常拦截器(AOP)
CoffeMilk的博客
08-04 3446
一、异常拦截思路 新建ExceptionFilter这个异常的拦截器,用于记录工程抛异常并做对应回调处理。 二、实现核心 2.1、异常拦截类 /*** * Title:".NET Core WebApi" 项目 * 主题:异常拦截 * Description: * 功能:实现拦截异常内容记录到日志 * Date:2021 * Version:0.1版本 * Author:Coffee * Modify Recoder: */ using log4net; using Microsoft..
JAVA年度安全 第五周 防止“点击劫持”(ClickJacking
New World
09-26 2533
JAVA年度安全 第五周 防止“点击劫持”(ClickJacking) http://www.jtmelton.com/2012/02/03/year-of-security-for-java-week-5-clickjacking-prevention/ What is it and why do I care? 点击劫持是一种“web framing" 或者 "UI redres
关于网站劫持劫持应急响应中需要检查的关键点
11-25 2300
本文主要是对常见的网站劫持方法进行总结学习,通过提前学习了解,不至于在遇到实际应急项目时手足无措。通过入侵服务器获得权限后,对前端JS、后端脚本文件以及中间件进行设置,从而达到跳转到恶意网站提高恶意网站权重的方法。
web安全 点击劫持 ClickJacking
金溪的博客
09-13 2554
描述 点击劫持是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网而上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上。HTTP响应头信息中的X-Frame-Option,可以指示浏览器是否应该加一个iframe中的页面。如果服务器响应头信息中...
Clickjacking (UI redressing)点击劫持
Eason_LYC安全白帽子的成长博客
05-13 1923
点击劫持Clickjacking)全面梳理介绍,并有配套靶场练习。难得的学习材料。
web安全ClickJacking
10-31
中国科学院大学研究生课件,由网络安全名师教授,入门深入必备
Web安全的三个攻防姿势
02-25
我们最常见的Web安全攻击有以下几种1.XSS跨站脚本攻击2.CSRF跨站请求伪造3.clickjacking点击劫持/UI-覆盖攻击下面我们来一一分析跨站脚本攻击(CrossSiteScripting),为了不和层叠样式表(CascadingStyleSheets,CSS...
点击劫持漏洞案例ppt
01-02
点击劫持---clickjacking
Web安全 .pdf
03-21
跨站脚本攻击 浏览器安全 跨站点请求伪造(CSRF) 点击劫持ClickJacking) 注入攻击 文件上传漏洞 认证与会话管理 Web 框架安全 Web Server 配置安全 互联网业务安全 安全开发流程
Web安全点击劫持ClickJacking
weixin_33871366的博客
03-06 931
点击劫持ClickJacking)是一种视觉上的欺骗手段。大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义; iframe覆盖 直接示例说明 1. 假如我们在百度有个贴吧,想偷偷让别人关注它。于是我们准备一个页面: &l...
X-Frame-Options 响应头配置避免点击劫持攻击
追梦猪的博客
10-08 686
服务器未设置X-Frame-Options响应头,易受到点击劫持攻击设置X-Frame-Options响应头它有三个可选的值:DENY SAMEORIGIN ALLOW-FROMorigin当值为DENY时,浏览器会拒绝当前页面加载任何frame页面;若值为SA...
点击劫持click jacking
weixin_33924220的博客
01-11 631
什么是点击劫持劫持原理劫持案例代码示例优酷频道刷粉的POC腾讯微博刷粉防御 什么是点击劫持 点击劫持clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明...
9.Linux性能诊断 --- Web应用安全:攻击,防护与检测,IPv6,容器安全
enlyhua的专栏
01-19 287
Web应用安全:攻击,防护与检测 1.点击劫持 X-Frame-Options : 用来给浏览器指示允许一个页面是否可以在frame标签或者object标签中展示的标记。 2.基于ssl的中间人攻击 3.跨站脚本攻击 X-XSS-Protection : 当检测到跨站脚本攻击时,浏览器将停止加载页面。 配置选项: 0禁止XSS过滤; 1启用XSS过滤 Content...
win2003服务器某一个网站被劫持,windows server 2012 iis被劫持的处理过程
weixin_42303461的博客
08-11 742
标签:关闭安装infpcmtoolext重写downloadocs需要用到的工具filemon下载地址:FileMon for Windows v7.04上周五晚接到有客户反应,网站打开很慢,而且百度搜索有很多博彩信息,打开依然能打开。第一反应就是网站被挂马了。网站从百度快照打开时程序一定加了来源判断转到了博彩网站。于是通过下载服务器安全狗及WebS...
Click Jacking点击劫持漏洞验证
afei001
02-09 1203
目录 1.前言 2.漏洞原理 3.漏洞验证 4.漏洞利用 5.漏洞修复 6.ClickJacking漏洞测试脚本(Python) 1.前言 前几天在对网站进行安全性测试时,发现存在ClickJacking点击劫持漏洞。AWVS扫出来报的是地危。利用的成本也不是很高,了解该漏洞的原理之后,我认为是个中危漏洞。 afei 服务器没有返回X-Frame-Options报头,这意味着该网站可能面临点击劫持攻击的风险。X-Frame-Options HTTP响...
Tomcat部署iframe出现Refused to display ‘url‘ in a frame because it set ‘X-Frame-Options‘ to ‘deny‘无法访问问题
Java开发,人工智能,边缘计算,致力于掌握前沿技术
04-15 5653
在Linux下部署帆软报表项目的时候,使用Tomcat服务器独立部署,部署完成之后发现iframe嵌入的页面无法打开访问,报错Refused to display ‘url’ in a frame because it set ‘X-Frame-Options’ to 'deny’ 使用iframe嵌入网页,浏览器报错:Refused to display ‘url’ in a frame because it set ‘X-Frame-Options’ to ‘deny’。 这是SpringSecur
dns被劫持怎么办,DNS被劫持了有什么解决办法?
hua520064的博客
01-09 1216
DNS被劫持,使指向该IP地址的域名变成另一个,从而导致不能正常上网,甚至还会被窃取用户的隐私和信息。那该如何解决这个问题呢? DNS劫持又叫域名劫持,指攻击者利用其他攻击手段 (比如劫持了路由器或域名服务器等),篡改了某个域名的解析结果,使得指向该域名的IP变成了另一个IP,导致对相应网址的访问被劫持到另一个不可达的或者假冒的网址,从而实现非法窃取用户信息或者破坏正常网络服务的目的。 IIS7网站监控可以及时防控网站风险,快速准确监控网站是否遭到各种劫持攻击,网站在全国是否能正常打开(查看域名是否被墙),
点击劫持漏洞修复(前端、后端)
weixin_42787408的博客
09-30 2107
点击劫持是一种视觉上的欺骗手段,攻击者通过使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作。
漏洞修复:Clickjacking: CSP frame-ancestors missing
CutelittleBo的博客
11-29 2106
在server中添加以下信息
Clickjacking: X-Frame-Options header
最新发布
01-10
Clickjacking是一种网络攻击,攻击者通过在一个网页上覆盖一个透明的iframe来欺骗用户点击一个看似无害的按钮或链接,实际上却触发了隐藏的恶意操作。为了防止Clickjacking攻击,可以使用X-Frame-Options头部来限制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值