点击劫持漏洞修复(前端、后端)

已于 2023-03-28 14:50:39 修改
阅读量2.2k 收藏 6
点赞数 2
分类专栏: 笔记
于 2022-09-30 09:32:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42787408/article/details/127117717
版权

点击劫持 ClickJacking 前端安全 后端防护 X-Frame-Options
关键词由CSDN通过智能技术生成

点击劫持漏洞修复(前端、后端)

点击劫持(Click Jacking)是一种视觉上的欺骗手段,攻击者通过使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,通过调整iframe页面的位置,可以使得伪造的页面恰好和iframe里受害页面里一些功能重合(按钮),以达到窃取用户信息或者劫持用户操作的目的。

前端

main.js中添加:
if(window.top !== window.self){ window.top.location = window.location;}

后端

添加过滤器:

@Component
public class AddResponseHeaderFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse,
                                    FilterChain filterChain) throws ServletException, IOException {
        System.out.println("=====X-Frame-Options, SAMEORIGIN=====");
        String requestUrI = httpServletRequest.getRequestURI().toString();
        //httpServletResponse.addHeader("x-frame-options","DENY"); // 拒绝任何域加载
        httpServletResponse.addHeader("X-Frame-Options", "SAMEORIGIN");
        filterChain.doFilter(httpServletRequest, httpServletResponse);
    }
}
黑黑的牟加
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
点击劫持漏洞原理及利用包含修复建议
课嗨教育的专栏
01-12 3786
今天群里有人问如何查看是否存在点击劫持漏洞,我们首先了解下漏洞是如何产生的,点击劫持漏洞是因为网站未对referer来源进行验证导致的。 具体测试及利用的话我们可以用iframe制作一个透明标签在上面: 案例: <!DOCTYPE HTML> <html> <meta http-equiv="Content-Type" content="text/html; charset=gb2312" /> <head> <title>点击劫持<
同源策略——CORS和JSONP劫持漏洞
m0_61506558的博客
11-03 728
同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。如果两个URL拥有相同的协议(http、https)、端口和主机,那么这两个URL就是同源的。JSONP(JSON with Padding) 是 json 的一种”使用模式”,可以让网页从别的域名(网站)那获取资料,即跨域读取数据。JSONP实现跨域请求的原理简单的说,就是动态创建标签,然后利用的 src不受。
2024年网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag
2401_84252281的博客
04-26 756
任务环境说明:服务器场景:Server1。
X-Frame-Options 报头缺失和未实施 HTTP 严格传输安全 (HSTS) 低危漏洞修复
m0_59598029的博客
04-30 1004
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
JSON劫持漏洞
W404129262的博客
07-15 886
项目在运行当中被安全部扫描扫描得到了JSON漏洞。一开始想着是把JSON包提高包的等级,但是还是没有解决掉JSON劫持的问题,安全部扫描后得到了一系列的修复漏洞方式,先把背景和对方提供的解决方案发出来。 这是关于漏洞背景方面 采用JSON文本的数据交互方式由于可以天然的在浏览器中使用,所以随着ajax和web业务的发展得到了广大的发展,各种大型网站都开始使用,包括Yahoo,Google,Tencent,Baidu等等。 但是如果这种交互的方式用来传递敏感的数据,并且传输的时候没有做太多...
常见漏洞修复方案
Guoke324的博客
09-09 9805
常见漏洞修复方案,漏洞修复
web前端安全性——JSONP劫持
qq_53911056的博客
02-22 1278
JSONP劫持的防护 (1)限制referer 前端可以通过设置document.referrer属性来限制Referer。虽然这并不能阻止攻击者伪造Referer,但可以增加一层防护。 (2)使用token 在前端,你可以通过添加一个自定义的token参数来增强JSONP请求的安全性。
X-Frame-Options未配置漏洞修复
煜铭2011
06-20 2906
0x00 背景 X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 恶意攻击者可以利用漏洞攻击做到: 击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。 0x01
常见漏洞原理及修复方式
Mr_helloword的博客
08-03 4311
漏洞原理及防护 Burte Force(暴力破解) 在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。 防御: 1.是否要求用户设置复杂的密码; 2.是否每次认证都使用安全的验证码(想想你买火车票时输的验证码~)或者手机otp; 3.是否对尝试登录的行为进行判断和限制(如:连续5次错误登录,进行账号锁定或IP地址锁定等); 4.是否采用了双因素认证; XS
JAVA Web应用常见漏洞修复建议
qq_39560975的博客
07-27 6276
跨站脚本、输入验证、代码注入等常见漏洞解析和修改方案
Web前后端漏洞分析与防御-知识梳理.zip
03-03
3. **点击劫持(Clickjacking)**:攻击者通过透明层诱使用户进行恶意操作。防御策略包括使用X-Frame-Options或Content-Security-Policy帧策略来阻止页面被嵌入其他站点。 4. **前端数据安全**:前端应当避免存储敏感...
腾讯大牛教你web前后端漏洞分析与防御.txt
11-20
- **漏洞复现与修复**:通过模拟特定场景下的攻击行为,演示如何快速定位问题并采取有效补救措施。 #### 总结与展望 - **持续学习的重要性**:鼓励读者保持对新技术的关注和学习,以便更好地应对未来可能出现的新...
MSPR_Front
03-19
1. **前端安全**: 前端安全主要关注浏览器端的安全,包括防止跨站脚本(XSS)、跨站请求伪造(CSRF)、点击劫持、数据注入等攻击。MSPR_Front 可能包含这些领域的防御机制。 2. **渗透测试**: 这是模拟黑客攻击,评估...
Chess42:【JSPHPMySQL】很简单(阅读
07-10
总的来说,Chess42是一个结合了前端交互和后端逻辑的多人在线游戏项目,尽管存在安全性问题,但它为学习和实践JSPHPMySQL技术提供了很好的实例。开发者可以通过修复这些问题来增强其安全性和稳定性。
第41天:JAVA安全-目录遍历访问控制XSS等安全问题1
08-03
在"Javaweb代码分析-XSS跨站安全问题"部分,我们将分析如何识别和修复这类漏洞。 此外,对于JavaWeb应用的代码审计,我们需要理解框架、路由地址、静态文件以及简易代码。在分析过程中,要关注潜在的安全风险点,...
golang 接口
m0_70982551的博客
07-24 910
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口中定义的所有方法。
Swagger使用Map接受参数时,页面如何显示具体参数及说
最新发布
a1058926697的博客
07-26 490
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
springboot之自动装配
weixin_50153914的博客
07-23 596
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件中的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
nginx点击劫持漏洞修复
05-10
nginx 本身并没有针对点击劫持的专门防御机制,但是我们可以通过一些方法来修复这个漏洞: 1. X-Frame-Options 防御点击劫持 在 nginx 的配置文件中,可以通过设置 X-Frame-Options 来防御点击劫持。X-Frame-...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值