Web服务器点击劫持(ClickJacking)的安全防范
来源:互联网 发布:网络上刘皇叔是什么梗 编辑:程序博客网 时间:2024/04/30 07:31
一.介绍
ClickJacking即点击劫持,是一种将恶意代码经过处理使其变成透明、不可见的iframe,并将其覆盖在一个网页上,然后诱使用户在该网页上进行点击操作。通过改变iframe的在页面的位置,可以诱使用户正好点击我们设置好的透明iframe。
二.防御
1.Frame Busting
这种方式是通过写JavaScript来禁止iframe嵌套,因为可以轻易饶过,所以这里不介绍了。具体攻防参照
http://seclab.stanford.edu/websec/framebusting/framebust.pdf
2.设置HTTP请求头(X-Frame-Options)
X-Frame-Options HTTP 响应头,可以指示浏览器是否应该加载一个iframe中的页面。网站可以通过设置X-Frame-Options阻止站点内的页面被其他页面嵌入从而防止点击劫持。
X-Frame-Options共有三个值:
DENY:任何页面都不能被嵌入到iframe或者frame中。
SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。
ALLOW-FROM URI:页面自能被指定的Uri嵌入到iframe或frame中。
例:以限制任何页面都不能被嵌入到iframe为例,分别在apache、IIS和Nginx中配置。
(1).apache配置
修改httpd.conf,添加下面内容。
Header always append X-Frame-Options DENY
如果同一台apache服务器上有多个站点,只想针对其中一个站点进行配置,可以修改.htaccess文件,添加如下内容:
Header append X-FRAME-OPTIONS "DENY"
(2).IIS配置
在web站点的web.config中配置。
<system.webServer> ...... <httpProtocol> <customHeaders> <add name="X-Frame-Options" value="DENY" /> </customHeaders> </httpProtocol> ......</system.webServer>
(3).Nginx配置
修改nginx.conf,在server下添加下面内容。
add_header X-Frame-Options "DENY";
添加完成如下:
server{listen 80;server_name www.dqiang.com;index index.html;add_header X-Frame-Options "DENY";}
0 0
- Web服务器点击劫持(ClickJacking)的安全防范
- web安全 点击劫持 ClickJacking
- Web安全之点击劫持(ClickJacking)
- Web安全之点击劫持(ClickJacking)
- web安全(3)-- ClickJacking(点击劫持)
- web安全————clickjacking(点击劫持)
- 关于点击劫持(clickjacking)的一些信息
- 点击劫持ClickJacking+HTML5
- JAVA年度安全 第五周 防止“点击劫持”(ClickJacking)
- 点击劫持(Clickjacking)漏洞技术内幕
- web安全——ClickJacking
- web安全学习笔记之-点击劫持
- 基于iframe的CFS(Cross Frame Script)和Clickjacking(点击劫持)攻击
- android安全——Activity劫持的防范程序
- WEB安全:session fixation的防范
- HTTP会话劫持的防范
- Apache服务器安全防范
- apache服务器安全防范
- atoi() 函数用来将字符串转换成整数(int)
- 欢迎使用CSDN-markdown编辑器
- 抽象工厂模式Abstract Factory
- eWorld.ASP.Maker.v2017.0.3.x86.Incl.Keygen-DARKSiDERS
- java BpDeep
- Web服务器点击劫持(ClickJacking)的安全防范
- 微信小程序与H5的区别
- 腾讯云Centos7安装Apache +MySQL+PHP +JDK +Tomcat
- 关于OAuth2.0认证的理解和java实现
- 【Spring】——环境搭建
- JavaScript深入浅出——语句(三)
- Hibernate关系映射一对多
- 欢迎使用CSDN-markdown编辑器
- 类型兼容性原则