web安全学习笔记之-点击劫持
来源:互联网 发布:mmd古风动作数据 编辑:程序博客网 时间:2024/05/16 12:03
点击劫持原理本质就是利用iframe实现了障眼法
这是比CSRF更高级的手法。可以通过一连串的欺骗让用户把需要交互的请求给伪造了。
也有人用类似障眼法当作trick去实现正常功能的,印象中QQ邮箱的一个前端分享就介绍过这样的手法实现一个非常规大杀器功能。
flash的点击劫持还能实现打开用户电脑的摄像头。
图片劫持XSIO ,用户输入的html代码里 如果允许浮出来,位置如果调整到logo位置,会起到欺骗目的。
现在出现了拖拽劫持、触屏劫持。总之就是凡是可以欺骗眼睛的交互都可以被利用。
tapjacking例如:http://hi.baidu.com/fonfonwanmei/item/ea905d1cf3ca35741109b5cf
各种劫持都很依赖iframe
所以防御劫持的方式比较直接是禁止跨域的iframe。
1、frame busting是一段javascript代码,禁止iframe的嵌套,只是能被多级嵌套的方式绕过。
2、x-frame-options ,依赖浏览器的实现,当http头给出这个选项是deny的设定后,浏览器不允许嵌套iframe。量身定做的防止点击劫持手段
0 0
- web安全学习笔记之-点击劫持
- Web安全之点击劫持(ClickJacking)
- Web安全之点击劫持(ClickJacking)
- web安全 点击劫持 ClickJacking
- web安全学习笔记之-脚本安全
- web安全学习笔记之-html5安全
- web安全(3)-- ClickJacking(点击劫持)
- web安全————clickjacking(点击劫持)
- Web服务器点击劫持(ClickJacking)的安全防范
- XSS学习笔记(一)-点击劫持
- XSS学习笔记(一)-点击劫持
- web安全学习笔记之-注入攻击
- web安全学习笔记之-oauth简介
- web安全学习笔记之-脚本安全-2
- web安全学习笔记之-脚本安全-CSRF
- web 安全学习笔记
- web安全学习笔记
- Web 安全学习笔记
- oracle根据列名查找包含此列名的表的名称
- expression动态构成
- CCAT-S1试题-图书管理系统
- 大斐波那契数
- 继承可能在c++
- web安全学习笔记之-点击劫持
- 使用Application Loader上传APP流程解读[APP发布]
- 私有继承
- ubuntu 14.04 安装 32位兼容库
- 这图代表什么?能看懂吗
- Rational Rose中的四种视图
- 页面js禁用鼠标右键
- 基于Struts+Hibernate开发过程中遇到的错误
- Mysql,SqlServer,Oracle主键自动增长的设置