点击劫持概念及解决办法

已于 2023-09-14 10:32:56 修改
阅读量900 收藏 3
点赞数
文章标签: 安全 网络
于 2023-09-14 10:32:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xswlw_guoquanbao/article/details/132871018
版权

1.点击劫持的概念

        点击劫持 (Clickjacking) 技术又称为界面伪装攻击 (UI redress attack ),是一种视觉上的欺骗手段。攻击者使用一个或多个透明的 iframe 覆盖在一个正常的网页上,然后诱使用户在该网页上进行操作,当用户在不知情的情况下点击透明的 iframe 页面时,用户的操作已经被劫持到攻击者事先设计好的恶意按钮或链接上。攻击者既可以通过点击劫持设计一个独立的恶意网站,执行钓鱼攻击等;也可以与 XSS 和 CSRF 攻击相结合,突破传统的防御措施,提升漏洞的危害程度

2.测试案例

新建一个html,src内容为目标网站

<head>

</head>
...
<body>
  <iframe id="target_website" src="http://localhost:8090/ssm_maven/student/add">
  </iframe>
</body>

项目地址为:

https://gitee.com/fluosetine/java-projects.git

效果如下:

可以把嵌入的页面隐藏,使用一些其他的页面覆盖在上边,进行相关的操作。

3.解决办法

在微软发布新一代的浏览器 Internet Explorer 8.0 中首次提出全新的安全机制:X-FRAME-OPTIONS。该机制有两个选项:DENY 和 SAMEORIGIN。DENY 表示任何网页都不能使用 iframe 载入该网页,SAMEORIGIN 表示符合同源策略的网页可以使用 iframe 载入该网页。如果浏览器使用了这个安全机制,在网站发现可疑行为时,会提示用户正在浏览 网页存在安全隐患,并建议用户在新窗口中打开。这样攻击者就无法通过 iframe 隐藏目标的网页。

X-Frame-Options HTTP 响应头,可以指示浏览器是否应该加载一个 iframe 中的页面。网站可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从而防止点击劫持。

X-Frame-Options 共有三个值:

DENY:任何页面都不能被嵌入到 iframe 或者 frame 中。

SAMEORIGIN:页面只能被本站页面嵌入到 iframe 或者 frame 中。

ALLOW-FROM URI:页面自能被指定的 Uri 嵌入到 iframe 或 frame 中。 

对于 java 项目,只需设置过滤器 在过滤器中指定 response.addHeader ("x-frame-options","SAMEORIGIN"); 就行了

增加过滤器,项目中相关的类AddResponseHeaderFilter

public class AddResponseHeaderFilter extends OncePerRequestFilter
{

	//Internet Explorer 8.0中
	@Override
	protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {
		System.out.println("=====X-Frame-Options, SAMEORIGIN=====");
        String requestUrI = request.getRequestURI().toString();
        System.out.println(requestUrI);
        //response.addHeader("x-frame-options","DENY"); // 任何页面都不能被嵌入到 iframe 或者 frame 中。
        response.addHeader("X-Frame-Options", "SAMEORIGIN");//页面只能被本站页面嵌入到 iframe 或者 frame 中。
        filterChain.doFilter(request, response);
		
	}

}

解决后效果如下:

xswlw_guoquanbao
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Spring Security-3中文官方文档(及教程)
09-02
Spring Security-3中文官方文档(及教程),另有一篇详细的教程文档。
点击劫持(ClickJacking)
热门推荐
qq_56327824的博客
03-30 1万+
点击劫持(ClickJacking) 什么是点击劫持 点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的,不可见的iframe,覆盖在一个网页上,然后诱导使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱导用户恰巧点击在iframe页面的一些功能性按键上 不懂iframe是干什么的同学,自己补充一下 利用iframe <!DOCTYPE html> <html lang="en"> <head>
Web 安全点击劫持(Clickjacking)攻击详解_点击劫持攻击
最新发布
2401_84578953的博客
04-28 1207
点击劫持(Clickjacking)攻击,又称为界面伪装攻击,是一种利用视觉欺骗手段进行攻击的方式。攻击者通过技术手段欺骗用户点击本没有打算点击的位置,当用户在被攻击者攻击的页面上进行操作时,实际点击结果被劫持,从而被攻击者利用。这种攻击方式利用了用户对网站的信任,通过覆盖层(通常是透明的iframe)覆盖在另一个网页之上,使受害者无法察觉。
【Web安全点击劫持 Click Jacking
RexHa的博客
10-16 1035
点击劫持是一种视觉上的欺骗手段。攻击者用一个透明的、不可见的iframe,覆盖在一个网页上,诱使用户在该网页上进行操作,使用户在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以使用户恰好点击在iframe的一些功能性按钮上。通俗的讲,就是你在点击一个“网页”的某个位置时,很可能是点击了隐藏在页面下的某个按钮,从而达到了黑客的某些目的,这对用户来说是不可见的。相对于XSS和CSRF,需要与用户进行交互,实施攻击的成本较高,在网络犯罪中比较少见。
点击劫持漏洞原理和复现
weixin_54438700的博客
05-20 3505
一、漏洞原理 点击劫持(Clickbandit),主要是利用HTML中iframe便签可以透明的属性进行利用攻击,其原理是通过在原本的网页上覆盖透明的框架并使受害者在不知情的情况下进行点击。漏洞主要是由于未对referer字段来源进行检验。常常配合csrf和xss。 图中,攻击者在原本网站上覆盖一个透明框架,受害者正常访问网站A,就会点击到这个透明框架B。攻击者常常利用该漏洞诱导受害者点击关键位置进行一些操作,比如转账、购买等危险操作。 二、漏洞复现 1.借助burpsuite工具,选择Clickb
「第五章」点击劫持(ClickJacking)
hacckjacking
01-22 873
「第五章」点击劫持(ClickJacking) 「第五章」点击劫持(ClickJacking) 批注 [……] 表示他人、自己、网络批注 参考资料来源于 * 书中批注 * CSDN * GitHub * Google * 维基百科 * YouT...
Web安全点击劫持(ClickJacking)
laya1211的博客
09-15 769
点击劫持(ClickJacking)是一种视觉上的欺骗手段。大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义
2022-最新前端面试题及答案整理.zip
10-15
9. **Web安全**:跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、点击劫持等,以及防止这些攻击的方法。 10. **移动优先和响应式设计**:理解移动设备的特性,使用CSS媒体查询和弹性布局来适应不同屏幕尺寸。 11. **...
百度公共DNS地址是多少?百度DNS设置方法(windows、lunix、mac)
10-01
选择像百度公共DNS这样的第三方DNS服务,有时可以解决ISP(Internet Service Provider,互联网服务提供商)提供的DNS服务可能出现的延迟、错误解析或被劫持等问题。此外,对于防范钓鱼网站和网络欺诈也有一定帮助,...
我是齐丶先丶森,收集整理全网面试题及面试技巧,旨在帮助前端工程师们找到一份好工作!更多详见公众号「前端面试秘籍」.zip
02-28
前端安全不容忽视,面试中可能会考到XSS、CSRF、点击劫持、JSONP安全等问题,以及如何预防这些攻击。 九、项目经验与问题解决能力 面试官通常会询问你的项目经历,期望听到你在实际工作中遇到的问题及解决方法,...
前端面试技巧.zip
03-16
6. **前端安全**:了解XSS、CSRF、点击劫持等常见攻击手段,以及相应的预防措施。 7. **版本控制**:熟悉Git的常用命令,如commit、push、merge、rebase等,理解分支管理和解决冲突的方法。 8. **项目构建工具**:...
Click Jacking点击劫持漏洞验证.pdf
12-25
本文详细讲解Click Jacking点击劫持漏洞原理及利用方式。该漏洞成功利用的关键就是能够将伪造的网页源码覆盖到目标页面上,并且在受害者不知情的情况下诱导进行操作,可将操作记录打印输出到控制台。攻击者也可通过技术手段将受害者的操作记录传回自己的服务器。
WebSecurity:网络安全文档
05-29
防止点击劫持的方法有设置`X-Frame-Options`响应头,禁止页面在iframe中加载。 4. **JavaScript注入**:攻击者可能会尝试在用户输入字段中注入恶意脚本,影响正常功能。开发者需要对用户输入进行严格的验证和清理,...
最强前端面试资源.zip
03-03
11. 安全性:跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、点击劫持安全问题及其防范措施。 12. 响应式设计和移动优先:适应不同设备和屏幕尺寸的设计策略,如媒体查询、自适应图片等。 13. 无障碍性(Web ...
博客:前端知识体系、前端监控、性能优化、原理探索、面经等.zip
03-01
4. Web安全:XSS、CSRF、点击劫持等攻击防范。 最后,面试准备是职业发展的必经之路: 1. 数据结构与算法:理解并能运用常见的数据结构(如数组、链表、树、图)和算法(如排序、搜索)。 2. 项目经验与案例分析:...
中职组网络安全p9网页版,购买后私聊博主给到教程
04-25
4. **点击劫持(Clickjacking)**:攻击者通过透明层欺骗用户点击,执行恶意操作。防范策略是使用X-Frame-Options头来阻止页面被嵌入到其他框架中。 5. **HTTP头部安全**:学习者应了解如何设置和使用如X-Content-...
web安全——点击劫持
2301_77472496的博客
08-29 256
点击劫持是一种视觉上的欺骗手段。攻击者一般使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上。通过控制iframe的长、宽,以及调整top、left位置,可以把iframe页面内任意部分覆盖到任何地方。同时设置iframe的position为absolute,并将z-index的值设置为最大,以达到让iframe处于页面的最上层。
《WEB安全渗透测试》(35) 使用Burp Clickbandit测试点击劫持
午夜安全
02-08 2180
点击劫持指的是,通过覆盖不可见的框架误导受害者点击,虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。Burp Clickbandit 是用于生成点击劫持攻击的工具,当发现可能容易受到点击劫持的网页时,可以使用 Burp Clickbandit 发起攻击,并确认可以成功利用此漏洞。Burp Clickbandit 使用 JavaScript 在你的浏览器中运行,它适用于除 Microsoft IE 和 Edge 之外的所有现代浏览器。
web项目中常见漏洞及解决方案
weixin_42071232的博客
03-21 7600
1.X-Frame-Options劫持 漏洞类型:内容欺骗 描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见 的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知 情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点 击在iframe页面的一些功能性按钮上。 HTTP 响应头信息...
nginx点击劫持漏洞修复
05-10
点击劫持是一种常见的 Web 安全漏洞,攻击者会将一个网站嵌入到另一个网站中,通过隐藏或者伪装的方式,欺骗用户去点击一个看似无害的链接,从而实现攻击者的恶意目的。nginx 本身并没有针对点击劫持的专门防御机制,但是我们可以通过一些方法来修复这个漏洞: 1. X-Frame-Options 防御点击劫持 在 nginx 的配置文件中,可以通过设置 X-Frame-Options 来防御点击劫持。X-Frame-Options 是一个 HTTP 响应头,可以控制浏览器是否允许当前页面在 iframe 中展示。我们可以将其设置为 DENY,表示当前页面不能在 iframe 中展示,从而防止点击劫持攻击。示例配置如下: ``` add_header X-Frame-Options DENY; ``` 2. JavaScript 防御点击劫持 另外,我们还可以通过 JavaScript 来防御点击劫持。在页面中嵌入一个透明的 iframe,覆盖整个页面,当用户点击页面时,我们可以通过 JavaScript 判断点击事件的坐标是否在 iframe 内,如果是,则说明用户是在被劫持的页面中点击,我们可以将当前页面重定向到其他页面,从而避免被攻击。示例代码如下: ``` if (top != self) { top.location = self.location; } ``` 综上所述,我们可以通过 X-Frame-Options 和 JavaScript 来防御点击劫持漏洞。建议开发人员在开发过程中注意防范这种漏洞,以保障用户的安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值