Clickjacking(点击劫持)

Posted Panisme

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Clickjacking(点击劫持)相关的知识,希望对你有一定的参考价值。

Clickjacking(点击劫持)是一种视觉欺骗手段,通过web的iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。

 

解决方法:配置过滤器

  首先,将ClickjackFilter.jar添加到lib目录下。

然后,打开webapps\ROOT\WEB-INF\web.xml添加以下过滤器:

 

<filter>

<filter-name>ClickjackFilterDeny</filter-name>

<filter-class>org.owasp.filters.ClickjackFilter</filter-class>

<init-param>

<param-name>mode</param-name>

<param-value>DENY</param-value>

</init-param>

</filter>

<filter-mapping>

<filter-name>ClickjackFilterDeny</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

 

重启tomcat服务即可解决。

以上是关于Clickjacking(点击劫持)的主要内容,如果未能解决你的问题,请参考以下文章

点击劫持(ClickJacking)

《白帽子讲WEB安全》学习笔记之第5章 点击劫持(clickjacking)

点击劫持(ClickJacking)漏洞挖掘及实战案例全汇总

Web安全之点击劫持(ClickJacking)

Web服务器点击劫持(ClickJacking)的安全防范

web安全之点击劫持