遵义市和城乡建设局网站,网站建设规划设计方案,称心的常州网站建设,做网站优化词怎么选择1、漏洞理解 点击劫持#xff08;Click Jacking#xff09;是一种视觉上的欺骗手段#xff0c;攻击者通过使用一个透明的iframe#xff0c;覆盖在一个网页上#xff0c;然后诱使用户在该页面上进行操作#xff0c;通过调整iframe页面的位置#xff0c;可以使得伪造的页面… 1、漏洞理解 点击劫持Click Jacking是一种视觉上的欺骗手段攻击者通过使用一个透明的iframe覆盖在一个网页上然后诱使用户在该页面上进行操作通过调整iframe页面的位置可以使得伪造的页面恰好和iframe里受害页面里一些功能重合按钮以达到窃取用户信息或者劫持用户操作的目的。 Clickjacking是仅此于XSS和CSRF的前端漏洞因为需要诱使用户交互攻击成本高所以不被重视但危害不容小觑攻击效果见案例。 2、漏洞原理   对于漏洞的防范大部分浏览器支持的防御办法是使用X-Frame-Options头通常设置为DENY可以很好地防范漏洞其次SAMEORIGIN可以在某个页面失守时被绕过ALLOW-FROM uri不被Chrome支持。其次还有CSP头Content-Security-Policy: frame-ancestors self仅支持FireFox。    也就是说如果发现系统没有设置上述头大概率存在ClickJacking漏洞测试方法很简单本地构造一个HTML文件使用iframe包含此页面 若返回拒绝请求则不存在问题控制台提示已设置X-Frame头故引用网站失败 3、漏洞防御 主要有三种防御办法 1X-Frame-Options建议设置为DENY 2Content-Security-Policy:frame-ancestors self或‘none’不适用于Safari和IE 3js层面使用iframe的sandbox属性判断当前页面是否被其他页面嵌套。 当前最推荐的方案是1和3结合防御深入了解可以阅读原文下载斯坦福大学对此漏洞的研究论文。