web安全:click jacking

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了web安全:click jacking相关的知识,希望对你有一定的参考价值。

点击劫持  click jacking
通过iframe加载被攻击网站到黑客自己维护的网站
通过z-index叠加和position定位,将2个网站的信息堆叠在一个立体投影面上,通过opacity设置透明度。
诱导普通用户点击按钮。

技术分享

防御:
js防御:
if (top.location != self.location) {top.location=self.location;} 
最有效防御: 
X-FRAME-OPTIONS是微软提出的一个http头,专门用来防御利用iframe嵌套的点击劫持攻击 

php中设置:header("X-FRAME-OPTIONS:DENY");
 DENY:拒绝任何域加载
 SAMEORIGIN :允许同源域下加载
ALLOW-FROM:可以定义允许frame加载的页面地址 

以上是关于web安全:click jacking的主要内容,如果未能解决你的问题,请参考以下文章

尝试通过安全透明方法“Compat.Button1_Click(System.Object, System.EventArgs)”访问安全关键方法“x”失败

取消订阅从未订阅过的事件是不是安全?

web网站安全策略 如何写

Web安全与网络安全的区别

Web浏览安全

Web浏览安全