点击劫持:X-Frame-Options

最新推荐文章于 2024-08-09 14:00:00 发布
最新推荐文章于 2024-08-09 14:00:00 发布
阅读量1.5k 收藏 3
点赞数 1
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wst0717/article/details/81136682
版权

点击劫持:X-Frame-Options

点击劫持是一种视觉欺骗手段,在web端就是iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。

我们真正要做的,并不是把自己的页面放到iframe里嵌入别人的页面,而是要把别人的页面利用iframe嵌入到自己的网站页面中来,再通过UI上面的欺骗,诱使用户“做他原本不想做的事情”。

参考链接:https://cnodejs.org/topic/56e664efd62bdb576d051d1c

 

(1)设置HTTP请求头(X-Frame-Options)

X-Frame-Options共有三个值:

DENY:任何页面都不能被嵌入到iframe或者frame中。

SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。

ALLOW-FROM URI:页面自能被指定的Uri嵌入到iframe或frame中。

(2)限制任何页面都不能被嵌入到iframe为例,分别在apache、IIS和Nginx中配置。

  (3)PHP代码: header(‘X-Frame-Options:SAMEORIGIN’);

  (4) JSP代码: response.setHeader(“X-Frame-Options”,”SAMEORIGIN”

小蘑菇~~~
关注
专栏目录
点击劫持漏洞(ClickJacking)
墨痕诉清风的博客
04-24 86
官方定义:点击劫持(也称为界面伪装攻击或UI矫正攻击)是一种网络攻击手段,通过篡改网页或利用其他技术手段,使用户在点击某个链接时,重定向到攻击者控制的网页或执行恶意操作,从而获取用户的隐私信息或进行其他非法活动。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。创建虚假页面,iframe src=嵌入要欺骗点击的页面,这里要对一下坐标,让虚假的按钮可正好点击到用户要被欺骗的页面按钮。SAMEORIGIN:frame页面的地址只能为同源域名下的页面。
web漏洞-点击劫持:X-Frame-Options未设置-低危
Amdy_amdy的博客
07-26 2783
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP 响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一...
X-Frame-Options(点击劫持)
万事俱备,就差一个程序员了
01-19 464
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的...
网站常见漏洞(二)
we_solo的博客
08-09 811
(超文本传输)协议定义的一种协议调试方法,该方法使得服务器原样返回任何客户端请求的内容(可能会附加路由中间的代理服务器的信息),由于该方法原样返回客户端提交的任意数据,因此,可用来进行跨站脚本(即使网站对关键页面启用了HttpOnly头标记,攻击者也可以通过TRACE方法绕过进行XSS攻击,盗取会话cookie、获取账户、模拟其他用户身份,甚至可以修改网页呈现给其他用户的内容。,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的。)攻击,这种攻击方式又称为跨站跟踪攻击(
web 点击劫持 X-Frame-Options
whatday的专栏
04-07 2531
原理解释 点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中<iframe>标签的透明属性。 就像一张图片上面铺了...
点击劫持漏洞:使用X-Frame-Options 解决方法(应用tomcat)
dearbaba_8520的博客
04-21 369
点击劫持漏洞:使用X-Frame-Options 解决方法(应用tomcat)
点击劫持:X-Frame-Options头缺失 in a frame because it set 'X-Frame-Options' to 'deny'
热门推荐
元宇宙1314
08-27 4万+
最近在一个扯蛋的项目中遇到一堆渗透测试的问题。其中有一个“X-Frame-Options漏洞”问题。我抓耳挠腮的一度不知道怎么解决,最后在我的不屑坚持下.......嘻嘻。愿遇到该BUG的人都能处理掉。我们先看看渗透报告中的东西,以失败而告终。 广告:由于我的博文《docker实现离线地图server》怎么写都搜不到,所以请原谅我这样无耻的推广~~:https://blog.csdn...
Tomcat 点击劫持:X-Frame-Options Header未配置【已解决】
身后是非的博客
03-14 1万+
X-Frame-Options Header未配置背景漏洞描述修复和改进建议具体解决办法TomcatApacheNginx自定义过滤器验证 背景 最近就新开发项目进行网络安全监测,检测报告中发现含有点击 劫持:X-Frame-Options Header未配置 (低危) Web安全漏洞,下面为具体解决方法 漏洞描述 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页...
X-Frame-Options头缺失漏洞修复-esapi.zip
07-17
在网络安全领域,X-Frame-Options头是一种重要的安全机制,用于防止点击劫持(Clickjacking)攻击。点击劫持是黑客通过透明或半透明的iframe层,诱使用户在不知情的情况下执行恶意操作,例如点击按钮、提交表单等。...
nginx环境漏洞点击劫持:X-Frame-Options报头丢失
最新发布
09-07
X-Frame-Options (XFO) 报头是一种 HTTP 首部字段,用于防止网页内容被嵌入到另一个网站的 `iframe` 或者 `frameset` 中,从而保护用户免受点击劫持攻击。点击劫持是指恶意网站利用用户的信任,诱使他们在不知情的...
X-Frame-Options相关文件
08-27
标题中的“X-Frame-Options相关文件”指出这个压缩包包含与防止点击劫持相关的资料。点击劫持(Clickjacking)是一种网络安全攻击方式,攻击者通过透明或半透明的iframe层来诱骗用户在不知情的情况下点击恶意链接或...
忽略X-Frame-Options「ignore X-Frame-Options」-crx插件
03-15
解决谷歌等页面无法在iframe中引用的问题 X-Frame-Options HTTP响应头可用于指示是否允许浏览器在a中渲染页面<frame>要么<iframe> 。使用这个插件删除它! 支持语言:中文 (简体)
点击劫持(ClickJacking)
qq_56327824的博客
03-30 1万+
点击劫持(ClickJacking) 什么是点击劫持 点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的,不可见的iframe,覆盖在一个网页上,然后诱导使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱导用户恰巧点击在iframe页面的一些功能性按键上 不懂iframe是干什么的同学,自己补充一下 利用iframe <!DOCTYPE html> <html lang="en"> <head>
什么是点击劫持
A526847的博客
06-17 323
通过控制 iframe 的长、宽,以及调整 top、left 的位置,可以把 iframe 页面内的任意部分 覆盖到任何地方。同时设置 iframe 的 position 为 absolute,并将 z-index 的值设置为最大,以达 到让 iframe 处于页面的最上层。攻击者使用一个透明的、不可见的 iframe,覆盖在一 个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的 iframe 页面。与之相反的是,点击劫持没有这个顾虑,它利用的就是与 用户产生交互的页面。
点击劫持与网站禁止iframe引入
Hello_Tree__的博客
11-26 466
最近一直在研究web安全方面的知识,研究到了点击劫持这里,所以就来实践一把。 首先创建一个html使用iframe引用一个本地用ngxin 起的web服务; 使用的是nginx,直接展示nginx.conf文件配置;加上这个头后记得nginx -s resload一下,重启之后记得要强制刷新一下浏览器Ctrl+F5 (windows)要是不行就多刷两遍哈。 然后你就会见到一个这么个玩意,这就代表成功了。 看一下返回的headers;已经设置上x-frame-options: DENY. ...
web安全——点击劫持
2301_77472496的博客
08-29 271
点击劫持是一种视觉上的欺骗手段。攻击者一般使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上。通过控制iframe的长、宽,以及调整top、left位置,可以把iframe页面内任意部分覆盖到任何地方。同时设置iframe的position为absolute,并将z-index的值设置为最大,以达到让iframe处于页面的最上层。
点击劫持学习
qq_51558360的博客
02-18 414
什么是点击劫持 点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 将iframe页面透明度调至最透明,将看不到iframe页面 但其实页面是这样的 在登录页面输入其实内容被输入到了iframe页面 代码 危害 1.盗取用户资金 2.获得用户的敏感信息 3.与XSS或CSRF等其他攻击手段
点击劫持:X-Frame-Options未配置,nginx配置X-Frame-Options响应头
weixin_42564514的博客
02-24 5633
nginx配置X-Frame-Options响应头 X-Frame-Options X-Frame-Options 有三个值: DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 SAMEORIGIN表示该页面可以在相同域名页面的 frame 中展示。 ALLOW-FROM uri 表示该页面可以在指...
Web渗透(五)点击劫持
weixin_39157582的博客
08-27 873
点击劫持分类点击劫持拖放劫持触屏劫持点击劫持原理点击劫持的实现防御方法服务端防御客户端防御 分类 从发展历程看,主要有三类: 点击劫持 点击劫持又称UI-覆盖攻击,是2008年由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼提出点击劫持的概念。因为首先劫持的是用户的鼠标点击操作,所以命名叫点击劫持。主要劫持目标是含有重要会话交互的页面,如银行交易页面、后台管理页面等。曾经 Twitter 和 Facebook 等著名站点的用户都遭受过点击劫持的攻击。 拖放劫持 在2010的 Black Hat Euro
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值