点击劫持漏洞修复(前端、后端)

已于 2023-03-28 14:50:39 修改
阅读量2.2k 收藏 6
点赞数 2
分类专栏: 笔记 文章标签: java 前端
于 2022-09-30 09:32:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42787408/article/details/127117717
版权

点击劫持漏洞修复(前端、后端)

点击劫持(Click Jacking)是一种视觉上的欺骗手段,攻击者通过使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,通过调整iframe页面的位置,可以使得伪造的页面恰好和iframe里受害页面里一些功能重合(按钮),以达到窃取用户信息或者劫持用户操作的目的。

前端

main.js中添加:
if(window.top !== window.self){ window.top.location = window.location;}

后端

添加过滤器:

@Component
public class AddResponseHeaderFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse,
                                    FilterChain filterChain) throws ServletException, IOException {
        System.out.println("=====X-Frame-Options, SAMEORIGIN=====");
        String requestUrI = httpServletRequest.getRequestURI().toString();
        //httpServletResponse.addHeader("x-frame-options","DENY"); // 拒绝任何域加载
        httpServletResponse.addHeader("X-Frame-Options", "SAMEORIGIN");
        filterChain.doFilter(httpServletRequest, httpServletResponse);
    }
}
黑黑的牟加
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
点击劫持漏洞原理和复现
weixin_54438700的博客
05-20 3513
一、漏洞原理 点击劫持(Clickbandit),主要是利用HTML中iframe便签可以透明的属性进行利用攻击,其原理是通过在原本的网页上覆盖透明的框架并使受害者在不知情的情况下进行点击漏洞主要是由于未对referer字段来源进行检验。常常配合csrf和xss。 图中,攻击者在原本网站上覆盖一个透明框架,受害者正常访问网站A,就会点击到这个透明框架B。攻击者常常利用该漏洞诱导受害者点击关键位置进行一些操作,比如转账、购买等危险操作。 二、漏洞复现 1.借助burpsuite工具,选择Clickb
WEB应用程序点击劫持漏洞研究及防御方法
12-11
web程序劫持漏洞及防御的方法。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
2024年网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag
2401_84252281的博客
04-26 742
任务环境说明:服务器场景:Server1。
X-Frame-Options 报头缺失和未实施 HTTP 严格传输安全 (HSTS) 低危漏洞修复
最新发布
m0_59598029的博客
04-30 976
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
点击劫持概念及解决办法
xswlw_guoquanbao的博客
09-14 900
点击劫持 (Clickjacking) 技术又称为界面伪装攻击 (UI redress attack ),是一种视觉上的欺骗手段。攻击者使用一个或多个透明的 iframe 覆盖在一个正常的网页上,然后诱使用户在该网页上进行操作,当用户在不知情的情况下点击透明的 iframe 页面时,用户的操作已经被劫持到攻击者事先设计好的恶意按钮或链接上。攻击者既可以通过点击劫持设计一个独立的恶意网站,执行钓鱼攻击等;也可以与 XSS 和 CSRF 攻击相结合,突破传统的防御措施,提升漏洞的危害程度。
十四、点击劫持漏洞
weixin_46849264的博客
03-24 487
点击劫持漏洞
Java代码审计-JS脚本劫持修复处理意见
dilamo1968的博客
08-22 730
先通过iis7网站监控,输入自己的域名,就可以立马看到自己是不是遭遇JS劫持了,并且查询结果都是实时的,可以利用查询结果来更好的优化我们的网站。 以下情况,应用程序很容易受到js劫持的攻击: (1)讲js对象用作数据传输格式 (2)处理机密数据 概念: 即在一个函数运行之前把它劫持下来,添加我们想要的功能。当这个函数实际运行的时候,它已经不是原本的函数...
Web前后端漏洞分析与防御-知识梳理.zip
03-03
3. **点击劫持(Clickjacking)**:攻击者通过透明层诱使用户进行恶意操作。防御策略包括使用X-Frame-Options或Content-Security-Policy帧策略来阻止页面被嵌入其他站点。 4. **前端数据安全**:前端应当避免存储敏感...
MSPR_Front
03-19
1. **前端安全**: 前端安全主要关注浏览器端的安全,包括防止跨站脚本(XSS)、跨站请求伪造(CSRF)、点击劫持、数据注入等攻击。MSPR_Front 可能包含这些领域的防御机制。 2. **渗透测试**: 这是模拟黑客攻击,评估...
Chess42:【JSPHPMySQL】很简单(阅读
07-10
总的来说,Chess42是一个结合了前端交互和后端逻辑的多人在线游戏项目,尽管存在安全性问题,但它为学习和实践JSPHPMySQL技术提供了很好的实例。开发者可以通过修复这些问题来增强其安全性和稳定性。
第41天:JAVA安全-目录遍历访问控制XSS等安全问题1
08-03
在"Javaweb代码分析-XSS跨站安全问题"部分,我们将分析如何识别和修复这类漏洞。 此外,对于JavaWeb应用的代码审计,我们需要理解框架、路由地址、静态文件以及简易代码。在分析过程中,要关注潜在的安全风险点,...
使用Javascript实现前端防御http劫持及防御XSS攻击并且对可疑攻击进行上报
08-10
httphijack 使用Javascript实现前端防御http劫持及防御XSS攻击,并且对可疑攻击进行上报 使用方法 引入 httphijack1.0.0.js httphijack.init() 防范范围: 所有内联事件执行的代码 href 属性 [removed] 内嵌的代码 静态脚本文件内容
网站漏洞处理+解决方法大全
04-12
网站漏洞处理 经过一系列分析,测试得出来的结果,里面有对跨站点请求伪造、sql注入等问题的解决方法。。。
点击劫持漏洞案例ppt
01-02
点击劫持---clickjacking
ASP基于BBS系统开发与帐户安全保护的实现(源代码+论文).zip
06-04
7. **代码审查**:定期检查和更新代码,修复已知的安全漏洞。 8. **HTTPS**:使用SSL/TLS协议加密通信,防止数据在传输过程中被窃取。 源代码和论文将提供更详细的设计和实现细节,包括数据库结构、用户认证过程、...
第81篇:JSONP劫持漏洞获取敏感信息原理、复现与坑点总结
ABC_123的博客
11-25 2054
Part1 前言大家好,我是ABC_123。今天我们研究一下JSONP劫持漏洞,早些年这个漏洞主要被攻击者用来窃取个人信息,如姓名、身份证号、家庭住址等,现在更多的用于蜜罐之中,间接溯源红队攻击者的个人身份。好多朋友至今对这个漏洞理解不深刻,能发现能利用,但是就是不明白原理,有时候别人能复现成功,但是自己却怎么都复现成功。今天ABC_123搭建一个tomcat环境,用java代码写了几个ser...
【web安全】点击劫持(clickjacking)
余轩轩轩轩啊的博客
01-30 378
点击劫持: clickjacking,它是用过覆盖不可见的框架误导用户点击。 虽然用户点击的是他所看到的网页,但实际上是被黑客精心构建的另一个置于原网页上面的透明页面。 具体详情可参考:http://www.cnblogs.com/lovesong/p/5248483.html 解决措施:HTTP头—— X-Frame_Options. X-Frame-Options有三个值: DENY:表示该...
点击劫持漏洞
qq_50854662的博客
08-15 2251
点击劫持漏洞
nginx 点击劫持漏洞修复
wudinaniya的博客
01-10 2197
点击劫持漏洞修复方案: 在相应的 location 下添加 add_header X-Frame-Options SAMEORIGIN; 比如: location ^~ /company_manager/ { proxy_redirect off; proxy_set_header Host $ho...
nginx点击劫持漏洞修复
05-10
点击劫持是一种常见的 Web 安全漏洞,攻击者会将一个网站嵌入到另一个网站中,通过隐藏或者伪装的方式,欺骗用户去点击一个看似无害的链接,从而实现攻击者的恶意目的。nginx 本身并没有针对点击劫持的专门防御机制,但是我们可以通过一些方法来修复这个漏洞: 1. X-Frame-Options 防御点击劫持 在 nginx 的配置文件中,可以通过设置 X-Frame-Options 来防御点击劫持。X-Frame-Options 是一个 HTTP 响应头,可以控制浏览器是否允许当前页面在 iframe 中展示。我们可以将其设置为 DENY,表示当前页面不能在 iframe 中展示,从而防止点击劫持攻击。示例配置如下: ``` add_header X-Frame-Options DENY; ``` 2. JavaScript 防御点击劫持 另外,我们还可以通过 JavaScript 来防御点击劫持。在页面中嵌入一个透明的 iframe,覆盖整个页面,当用户点击页面时,我们可以通过 JavaScript 判断点击事件的坐标是否在 iframe 内,如果是,则说明用户是在被劫持的页面中点击,我们可以将当前页面重定向到其他页面,从而避免被攻击。示例代码如下: ``` if (top != self) { top.location = self.location; } ``` 综上所述,我们可以通过 X-Frame-Options 和 JavaScript 来防御点击劫持漏洞。建议开发人员在开发过程中注意防范这种漏洞,以保障用户的安全。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值