前端安全:防范点击劫持的两种方式

最新推荐文章于 2024-05-11 17:46:39 发布
最新推荐文章于 2024-05-11 17:46:39 发布
阅读量607 收藏
点赞数
文章标签: 前端 ViewUI
原文链接:https://segmentfault.com/a/1190000011635300
版权

近期的工作都和交易有关,写代码都特别谨慎,前面说过前端如何防范跨站请求伪造攻击(CSRF),这次准备简单说说防范点击劫持。

什么点击劫持?最常见的是恶意网站使用 <iframe> 标签把我方的一些含有重要信息类如交易的网页嵌入进去,然后把 iframe 设置透明,用定位的手段的把一些引诱用户在恶意网页上点击。这样用户不知不觉中就进行了某些不安全的操作。

image

有两种方式可以防范。

使用 JS 防范

判断顶层视口的域名是不是和本页面的域名一致,如果不一致就让恶意网页自动跳转到我方的网页。当然你还可以恶心一下这些恶意网站,比如说弹窗十几次,或者跳转到某些404页面。

if (top.location.hostname !== self.location.hostname) {
    alert("您正在访问不安全的页面,即将跳转到安全页面!");
    top.location.href = self.location.href;
}

使用 HTTP 头防范

通过配置 nginx 发送 X-Frame-Options 响应头,这样浏览器就会阻止嵌入网页的渲染。更详细的可以查阅MDN上关于X-Frame-Options 响应头的内容。

add_header X-Frame-Options SAMEORIGIN;

原文首发在我的 github 博客

weixin_34414650
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
前端安全:如何防止CSRF攻击?
02-24
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业...我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端同学在日常开发中不断预防和修复安
网络安全-前端安全-防御手段.pdf
10-23
X-Frame-Options 是一种安全机制,用于防止点击劫持攻击。 3. 防御手段 防御手段是前端安全防御手段的最后一个组成部分。防御手段包括验证码、滑动验证码和机器学习算法等。 验证码是最常用的防御手段,用于防止...
前端安全点击劫持
Daisy
04-07 1241
点击挟持: 顾名思义,跟点击有关,挟持,意味着违背用户意愿做一件事情。 点击挟持,通过用户点击完成了另一个操作,用户并不知情。 通过iframe <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content...
关于点击劫持和防御
Wang的专栏
06-09 1177
【代码】关于点击劫持和防御。
2024年网络安全-点击劫持(ClickJacking)的原理、攻击及防御,从三流网络安全外包到秒杀阿里P7,
最新发布
2401_84253089的博客
05-11 954
2008年,安全专家Robert Hansen 与Jeremiah Grossman发现了一种被他们称为点击劫持(ClickJacking)的攻击。他们准备在OWASP安全大会上公布并进行演示,但是由于很多平台都中了招,包括Adobe在内的厂商要求在漏洞修补前不要公开此问题。
点击劫持攻击和预防
allway2的博客
09-05 493
当用户认为他们点击了攻击者页面上的按钮时,实际上他们点击了完全不同的网站上的某些内容。是一个小的网络应用程序。攻击者可以做的是创建这样的页面。您可以通过实施带有获取元数据标头的隔离策略来阻止对服务器端帧的请求,从而实现一个很好的附加防御层。在本文中,您将了解点击劫持攻击、它们的工作原理、它们如何使您的网站用户面临风险以及如何防止它。防止点击劫持攻击的唯一方法是阻止其他网站构建您的网站。如果您还想阻止您的网站自行构建框架,请同时阻止所有非指向文档的导航请求。是攻击者页面,它有点不透明,以显示它是如何工作的。
vuejs 开发h5页面,防止路由页面被http劫持跳转问题
qq_32262049的博客
09-03 3030
实现代码:   var cnzz_protocol = (("https:" == document.location.protocol) ? " https://" : " http://");       document.write(unescape("%3Cspan id='cnzz_stat_icon_1273921537'%3E%3C/span%3E%3Cscript src='" ...
前端安全防范----点击劫持
包磊磊的博客
01-03 567
涉及面试题:什么是点击劫持?如何防范点击劫持点击劫持是一种视觉欺骗的攻击手段。攻击者将需要攻击的网站通过 iframe 嵌套的方式嵌入自己的网页中,并将 iframe 设置为透明,在页面中透出一个按钮诱导用户点击 对于这种攻击方式,推荐防御的方法有两种 ** X-FRAME-OPTIONS** X-FRAME-OPTIONS 是一个 HTTP 响应头,在现代浏览器有一个很好的支持。这个 HTTP 响应头 就是为了防御用iframe 嵌套的点击劫持攻击。 该响应头有三个值可选,分别是 DENY
前端安全系列:如何防止XSS攻击?
02-25
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业...我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端人员在日常开发中不断预防和修复安
前端性能优化与Web安全
08-26
在现代Web开发中,前端性能优化与Web安全是两个至关重要的主题。性能优化关乎用户体验,而Web安全则关乎用户的数据安全以下将详细介绍这两个领域的关键知识点。 **性能优化** 1. **UI篇**: - 图像处理:根据...
点击劫持攻防入门
Web分享
01-11 4543
简介 点击劫持(click jacking)也被称为 UI 覆盖攻击。它通过不可见框架底部的内容误导受害者点击,虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 原理 这种攻击利用了HTML中标签的透明属性。 在 HTML 中,我们可以在 iframe 里面嵌套另一个网页。通过设置 iframe 的透明度,可以使 iframe 不可见,同
点击劫持攻击与防御技术简介
北冥有鱼的Blog
12-01 1542
引言: 昨天搞google iframe时,接触到了点击劫持(clickjacking)的概念。以前看《图解HTTP》的时候也接触到了这个概念【大学时候还接触到SQL注入、XSS跨站脚本攻击(Cross Site Scripting),跨站请求伪造(Cross-site request forgery,简称CSRF或XSRF)等相关概念】。今天查了相关资料,发现一篇好文章,现转载如下: 点击劫持...
网络安全-点击劫持(ClickJacking)的原理、攻击及防御
热门推荐
关注网络安全、云原生安全
08-15 1万+
简介 2008年,安全专家Robert Hansen 与Jeremiah Grossman发现了一种被他们称为点击劫持(Cli)的攻击 原理 攻击 防御
Web服务器点击劫持(ClickJacking)的安全防范
个人技术博客
01-10 4569
一.介绍 ClickJacking即点击劫持,是一种将恶意代码经过处理使其变成透明、不可见的iframe,并将其覆盖在一个网页上,然后诱使用户在该网页上进行点击操作。通过改变iframe的在页面的位置,可以诱使用户正好点击我们设置好的透明iframe。 二.防御 1.Frame Busting 这种方式是通过写JavaScript来禁止iframe嵌套,因为可以轻易饶过,所以这里不介绍了。
点击劫持和防御
标子 的专栏
12-13 2188
原页面source.php //header('X-Frame-Options:DENY'); ?> <!DOCTYPE html> <html> <head> <title></title> <style type="text/css"> html,body{ margin: 0px; padding: 0px;
劫持方法
weixin_30505485的博客
11-07 184
在用户通过CDN下载资源过程中,各个阶段都有可能发生劫持,要做好防劫持,必须各个阶段都有所准备,而不仅仅是用户到CDN节点这一段。 对于DNS劫持,比较有效的方式是随机域名和HTTPDNS。 而对于HTTP劫持的话,则可以采用URL加密以及HTTPS来处理。 在线上环境中必须考虑业务的实际需求,综合考量,搭配多种防劫持方式来取得最好的防劫持效果。 原文:http://www...
说说如何防御点击劫持
读万卷书,行万里路
09-13 805
可以使用 X-Frame-Options HTTP 响应头,来防御点击劫持。 X-Frame-Options 可以有以下这些值: X-Frame-Options: deny X-Frame-Options: sameorigin X-Frame-Options: allow-from https://example.com/ 具体说明如下: 参数 说明 deny 禁止页面在 ...
点击劫持
Bul1et的博客
10-31 670
其实点击劫持算不上什么大的漏洞  不过今天遇到了  就来说说 首先是通过扫描器扫到的这个漏洞 然后开始研究怎么复现 通过各种努力吧   最后自己写了一个POC  就可以验证了 第一种POC &lt;iframe id="victim" src="https://www.baidu.com/" scrolling="no" width="1300" height="600" frameb..
Web应用前端安全策略:深度解析与防范方案
"Web前端-Web应用前端安全策略研究及应用.pdf" 随着Web技术的快速发展,Web应用已经成为构建网站和移动应用的主要方式。W3C标准的成熟和浏览器环境的不断优化,使得Web应用不仅在桌面端,也在移动端通过混合应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值