2. 程式人生 > >點選劫持防禦方案

點選劫持防禦方案

阿新 發佈:2018-12-30

lemon.i還會使用到lemon.v來實現一些功能,如何在主流瀏覽器(Firefox、Chrome、Ie、Safari)上達到防禦效果?

<!DOCTYPE html>
<html lang="en">
<head>
    <title>Clickjack</title>
    <style>
        iframe {
            width: 1440px;
            height: 900px;

            position: absolute;
            top: -0px;
            left: -0px;
            z-index: 2;

            -moz-opacity: 0.2;
            opacity: 0.2;
            filter: alpha(opacity=0.2);
        }
        button {
            position: absolute;
            z-index: 1;
            width: 120px;
        }
    </style>
</head>
<body>
    <iframe src="http://lemon.i/test/click/index.php" scrolling="no"></iframe>
    <button>Click Here!</button>
</body>
</html>

防禦

js防禦

frame bust:

<style>
    body {display: none;}
</style>

<!-- 此段JS放在body載入完成後 -->
<script>
if (self == top) {
    document.getElementsByTagName("body")[0].style.display = 'block';
} else {
    top.location = self.location;
}
</script>

具有侷限性,對於業務有其他呼叫是會出現問題。

X-Frame-Options

DENY:禁止iframe
SAMEORIGIN:只允許相同域名下的網頁iframe,同源政策保護
ALLOW-FROM: https://example.com:白名單限制

但這個缺陷就是chrome、Safari是不支援ALLOW-FROM語法!

phpcode

header("X-Frame-Options: allow-from http://lemon.v");

注意在IE下allow-from設定需要定義協議等較為嚴格的限定.

frame-ancestors、frame-src

frame-ancestors影響以下標籤: <frame>,<iframe>,<object>,<embed>,或<applet>


需要注意的是: 此指令在<meta>元素或Content-Security-policy-Report-Only標題欄位中不受支援

語法:
Content-Security-Policy: frame-ancestors <source>;
Content-Security-Policy: frame-ancestors <source> <source>;

其中<source>
1、設定為none,單引號是必須的,則類似deny
Content-Security-Policy: frame-ancestors 'none';
2、*.lemon.v,通配匹配
Content-Security-Policy: frame-ancestors 'none';

frame-src影響以下標籤: <frame>,<iframe>,語法與frame-ancestors類似

phpcode

header("Content-Security-Policy: frame-ancestors lemon.v; frame-src lemon.v;");

frame-srcframe-ancestors都存在的時候,會忽略frame-src

當時這個的缺陷就是IE不支援CSP!

結合使用

在chrome、firefox下,會因為frame-ancestors指令,忽略X-Frame-Options的設定
IE本身不支援CSP,所以只受X-Frame-Options影響

所以可以綜合使用

header('X-Frame-Options: allow-from http://lemon.v');
header("Content-Security-Policy: frame-ancestors lemon.v; frame-src lemon.v;");

這樣解決了一種情況:
業務還存在跨域的lemon.v去iframe,在測試的瀏覽器中能夠達到想要的效果(有些版本未測試,可能有偏差).

另外探索了一下綜合使用會出現的問題:

header('X-Frame-Options: deny');
header("Content-Security-Policy: frame-ancestors lemon.v; frame-src lemon.v;");

Safari支援CSP,但X-Frame-Options設定為deny,會受到它的影響,從而覆蓋了frame-ancestors的設定

相關推薦

劫持防禦方案

lemon.i還會使用到lemon.v來實現一些功能,如何在主流瀏覽器(Firefox、Chrome、Ie、Safari)上達到防禦效果? <!DOCTYPE html> <html lang="en"> <head> <title>Clickjack

劫持 小例

點選劫持(UI-覆蓋攻擊/click jacking) 一個關於點選劫持的小示例,首相看下理論知識 專案思路 首先,製作一個功能頁面,作為被iframe巢狀的功能頁面;這個頁面的功能就是模仿投票功能,點選按鈕時,即可完成投票功能,控制檯會同步打印出操作資訊。 <!DOCTYPE

劫持(ClickJacking)

點選劫持 什麼是點選劫持? 利用方法 進階(本質上還是UI覆蓋攻擊,只是實現手段不一樣) 防禦 什麼是點選劫持? 點選劫持(ClickJacking),又稱“UI-覆蓋攻擊”,通過覆蓋不可見的框架誤導受害者進行點選而造成的攻擊

web安全(3)-- ClickJacking(劫持

“Clickjacking(點選劫持)是由網際網路安全專家羅伯特·漢森和耶利米·格勞斯曼在2008年提出的。是一種視覺欺騙手段,在web端就是iframe巢狀一個透明不可見的頁面,讓使用者在不知情的情況下,點選攻擊者想要欺騙使用者點選的位置。” 假設你訪問一個web站點並看到如下的頁面:

BTS測試實驗室 --- 檔案包含、SSRF、劫持、無限制檔案上傳

0X00 檔案包含 1. 什麼是“檔案包含”? 在通過伺服器指令碼的函式引入檔案時,由於傳入的檔名沒有經過合理的校驗,從而操作了預想之外的檔案,導致意外的檔案洩露、惡意程式碼的注入等。 檔案包含分為本地檔案包含和遠端檔案包含。 2. 本地檔案包含利用方式 bts

Web伺服器劫持(ClickJacking)的安全防範

一.介紹 ClickJacking即點選劫持,是一種將惡意程式碼經過處理使其變成透明、不可見的iframe,並將其覆蓋在一個網頁上,然後誘使使用者在該網頁上進行點選操作。通過改變iframe的在頁面的位置,可以誘使使用者正好點選我們設定好的透明iframe。 二.防禦 1.

X-Frame-Options 響應頭避免劫持

配置 Apache配置 Apache 在所有頁面上傳送 X-Frame-Options 響應頭,需要把下面這行新增到 ‘site' 的配置中: Header always append X-Frame-Options SAMEORIGIN?新增後重啟apache

WEB安全基礎-劫持漏洞基礎

點選劫持漏洞 點選劫持:一個其他的網站,用iframe標籤,<iframe src=”http://xxx.xxx.xxx”></ifame> <style> Ht

關於X-Frame-Options 響應頭配置避免劫持攻擊的問題整理

2018.05.07 客戶反映學校網站被掃描到X-Frame-Options Header未配置漏洞經查詢得到的解決方案一:配置 Apache配置 Apache 的httpd.conf 在所有頁面上傳送 X-Frame-Options 響應頭,需要把下面這行新增到配置中:H

X-Frame-Options 響應頭配置避免劫持攻擊

X-Frame-Options HTTP 響應頭是用來給瀏覽器指示允許一個頁面可否在 <frame>, <iframe> 或者 <object>中展現的標記。網站可以使用此功能,來確保自己網站的內容沒有被嵌到別人的網站中去,也從而避免了點選劫持 (clickjacki

web安全:防範劫持的兩種方式

防範點選劫持的兩種方式 什麼點選劫持?最常見的是惡意網站使用 <iframe> 標籤把我方的一些含有重要資訊類如交易的網頁嵌入進去,然後把 iframe 設定透明,用定位的手段的把一些引誘使用者在惡意網頁上點選。這樣使用者不知不覺中就進行了某些不安全的操作。 有兩

《Android那些事》——ListView中Button事件解決方案

    說一說寫這篇文章的原因,最近在做一個專案,有涉及到使用者回覆的功能     遇到的其中一個問題就是,如何為ListView中的Button設定點選事件?     在此將解決方案分享給大家

web安全之劫持(clickjacking)

百度解釋: 點選劫持,clickjacking,也被稱為UI-覆蓋攻擊。這個詞首次出現在2008年,是由網際網路安全專家羅伯特·漢森和耶利米·格勞斯曼首創的。 它是通過覆蓋不可見的框架誤導受害者點選。 雖然受害者點選的是他所看到的網頁,但其實他所點選的是被黑客精心構

MPAndroidChart MarkerView的精確問題解決方案

說到在Android中畫圖,相信大家對MPAndroidChart不陌生,其功能強大,能畫出各種各樣非常絢麗的效果圖。但是近期公司的專案要求在markerview上新增一些按鈕,能夠直接在markerview上操作按鈕來直接對圖上的point進行操控。然後在li

Android開發技術2——Fragment疊加穿透解決方案

當Fragment棧中有多個add Fragment時,點選最上層Fragment時的空白處,如果對應的下層Fragment中存在按鈕或其他事件,那麼奇妙的事情就發生了,會穿透點選到下方的事件,不可否認

網頁劫持科普

點選劫持,clickjacking,也被稱為UI-覆蓋攻擊。這個詞首次出現在2008年,是由網際網路安全專家羅伯特·漢森和耶利米·格勞斯曼首創的。它是通過覆蓋不可見的框架誤導受害者點選。雖然受害者點選的

基於iframe的CFS(Cross Frame Script)和Clickjacking(劫持)攻擊

防止被 FRAME 載入你的網站頁面1. meta 標籤:很多時候沒有效果,無視<meta http-equiv="Windows-Target" contect="_top">2. js 判斷頂層視窗跳轉,可輕易破解,意義不大function locationTop(){ if (top

Tomcat 劫持漏洞修改

修改 tomcat 的點選劫持漏洞 一、修改 tomcat 的 web.xml 配置檔案 修改web伺服器配置,新增X-Frame-Options響應頭。賦值有如下三種: 1、DENY:不能被嵌入

惡意程式利用Android漏洞劫持

作者:趨勢科技 通過社會工程學陷阱技巧,開發者可以建立一個應用程式用來誘騙使用者點選特製的應用程式彈出視窗,讓它成為多種威脅的入口,這種攻擊被稱為點選劫持(Tapjacking),利用了Androi

關於劫持(clickjacking)的一些資訊

最近在用到iframe巢狀的時發現了些問題,在解決這些問題時瞭解到了一種叫作點選劫持(clickjacking)的攻擊手段,下面是其中一篇有用的文章,因為原文需要同意才能轉載,所以將網址貼在這兒,以備不時之需。 這篇文章與Standford的一篇論文極為類似,原論文題為《