点击劫持与网站禁止iframe引入

最新推荐文章于 2024-06-17 09:14:56 发布
原创 最新推荐文章于 2024-06-17 09:14:56 发布
· 513 阅读 · 0 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#js #javascript #html

本文介绍了作者在研究Web安全时,针对点击劫持问题进行的实践。通过创建一个HTML页面并使用iframe引用本地运行的nginx服务,设置nginx配置文件中的X-Frame-Options为DENY,成功防止了点击劫持。在浏览器中查看响应头确认设置已生效。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近一直在研究web安全方面的知识,研究到了点击劫持这里,所以就来实践一把。
首先创建一个html使用iframe引用一个本地用ngxin 起的web服务;
在这里插入图片描述

使用的是nginx,直接展示nginx.conf文件配置;加上这个头后记得nginx -s resload一下,重启之后记得要强制刷新一下浏览器Ctrl+F5
(windows)要是不行就多刷两遍哈。
在这里插入图片描述
然后你就会见到一个这么个玩意,这就代表成功了。
在这里插入图片描述
看一下返回的headers;已经设置上x-frame-options: DENY.
在这里插入图片描述

禁止网站iframe引用
刘杨造梦的博客
05-31 838
解决方案一:js方法 这种方法不可靠,不推荐使用 <script type="text/javascript"> if(self != top) { top.location = self.location; } </script> 解决方案二:Meta标签方法 <meta http-equiv="X-FRAME-OPTIONS" content="DENY"> 以上两种为前端处理方法,不推荐使用。 解决方案三:PHP方法 <?php header
浏览器点击劫持详解
最新发布
悦分享
07-03 246
点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。点击劫持原理示意图:看下面这个例子。在 h tp://www.a.com/test.html页面中插入了一个指向目标网站iframe,出于演示的目的,我们让这个iframe变成半透明:
什么是点击劫持
A526847的博客
06-17 392
通过控制 iframe 的长、宽,以及调整 top、left 的位置,可以把 iframe 页面内的任意部分 覆盖到任何地方。同时设置 iframe 的 position 为 absolute,并将 z-index 的值设置为最大,以达 到让 iframe 处于页面的最上层。攻击者使用一个透明的、不可见的 iframe,覆盖在一 个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的 iframe 页面。之相反的是,点击劫持没有这个顾虑,它利用的就是 用户产生交互的页面。
web安全——点击劫持
2301_77472496的博客
08-29 341
点击劫持是一种视觉上的欺骗手段。攻击者一般使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上。通过控制iframe的长、宽,以及调整top、left位置,可以把iframe页面内任意部分覆盖到任何地方。同时设置iframe的position为absolute,并将z-index的值设置为最大,以达到让iframe处于页面的最上层。
点击劫持学习
qq_51558360的博客
02-18 491
什么是点击劫持 点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 将iframe页面透明度调至最透明,将看不到iframe页面 但其实页面是这样的 在登录页面输入其实内容被输入到了iframe页面 代码 危害 1.盗取用户资金 2.获得用户的敏感信息 3.XSS或CSRF等其他攻击手段
界面劫持之点击劫持
d59hao的博客
06-13 735
界面操作劫持攻击实际上是一种基于视觉欺骗的 web 会话劫持攻击,核心在于使用了标签中的透明属性,他通过在网页的可见输入控件上覆盖一个不可见的框,使得用户误以为在操作可见控件,而实际上用户的操作行为被其不可见的框所劫持,执行不可见框中的恶意代码,达到窃取信息,控制会话,植入木马等目的。因为首先劫持的是用户的鼠标点击操作,所以命名叫点击劫持。最新版本的浏览器提供很多防御点击劫持漏洞的安全机制,对于普通的互联网用户,经常更新修复浏览器的安全漏洞,能够最有效的防止恶意攻击。
防止被IFRAME嵌套并自动跳到首页代码.rar
07-04
然而,它也可能被滥用,用于进行点击劫持、跨站脚本攻击(XSS)等恶意活动。 描述中提到的测试方法,是验证这段JS代码是否有效防止了IFRAME嵌套的过程。当A站全局引入这段JS代码后,任何试图在B站的IFRAME中加载A站...
点击劫持攻击的原理应对措施
攻击者借助社会工程学手段和恶意代码(如iFrame嵌套、页面透明度设置等),将目标网站或页面透明覆盖在诱骗用户点击的页面上。当用户点击页面上的内容时,实际上是在执行恶意代码,从而导致各种问题和风险。 ## 1.2...
Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击
马小婧QAQ
09-02 2048
为什么要配置HTTP响应头? 不知道各位有没有被各类XSS攻击、点击劫持(ClickJacking、 frame 恶意引用等等方式骚扰过,百度联盟被封就有这些攻击的功劳在里面。为此一直都在搜寻相关防御办法,至今效果都不是很好,最近发现其实各个浏览器本身提供了一些安全相关的响应头,使用这些响应头一般只需要修改服务器配置即可,不需要修改程序代码,成本很低。至于具体的效果只能是拭目以待了,但是感觉还是有一定的效果的。 而这些HTTP响应头在我们部署 Nginx 的时候经常会被忽略掉,个人感觉..
点击劫持防护:X-Frame-Options头部缺失解析
点击劫持是一种安全漏洞,攻击者通过在用户的浏览器中嵌入透明或隐藏的iframe,诱使用户点击看似无害的网页上的按钮或链接,实际上这些操作被重定向到了攻击者的恶意网站,从而实现对用户的欺骗或窃取敏感信息等恶意...
PHP、Nginx、Apache中禁止网页被iframe引用的方法
01-20
可以使用php或nginx等添加X-Frame-Options header来控制frame权限X-Frame-Options有三个可选的值: DENY:浏览器拒绝当前页面加载任何Frame页面SAMEORIGIN:frame页面的地址只能为同源域名下的页面ALLOW-FROM:允许frame加载的页面地址 PHP代码:复制代码 代码如下:header(‘X-Frame-Options:Deny’); Nginx配置:复制代码 代码如下:add_header X-Frame-Options SAMEORIGIN 可以加在locaion中复制代码 代码如下:location /{  add_he
360急速浏览器,iframe等问题导致,右键禁用无效的问题
05-19
360浏览器急速模式下,由于父窗口iframe、浏览器窗口改变大小等原因导致的滚动条部分可视区鼠标右键无法禁用等问题的解决办法:利用div等对象进行遮罩操作(该div对象必须覆盖可视区).
点击劫持漏洞(ClickJacking)
墨痕诉清风的博客
04-24 222
官方定义:点击劫持(也称为界面伪装攻击或UI矫正攻击)是一种网络攻击手段,通过篡改网页或利用其他技术手段,使用户在点击某个链接时,重定向到攻击者控制的网页或执行恶意操作,从而获取用户的隐私信息或进行其他非法活动。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。创建虚假页面,iframe src=嵌入要欺骗点击的页面,这里要对一下坐标,让虚假的按钮可正好点击到用户要被欺骗的页面按钮。SAMEORIGIN:frame页面的地址只能为同源域名下的页面。
点击劫持(ClickJacking)
热门推荐
qq_56327824的博客
03-30 1万+
点击劫持(ClickJacking) 什么是点击劫持 点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的,不可见的iframe,覆盖在一个网页上,然后诱导使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱导用户恰巧点击在iframe页面的一些功能性按键上 不懂iframe是干什么的同学,自己补充一下 利用iframe <!DOCTYPE html> <html lang="en"> <head>
Web安全之点击劫持(ClickJacking)
weixin_33871366的博客
03-06 1052
点击劫持(ClickJacking)是一种视觉上的欺骗手段。大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义; iframe覆盖 直接示例说明 1. 假如我们在百度有个贴吧,想偷偷让别人关注它。于是我们准备一个页面: &l...
点击劫持:X-Frame-Options
七月_的博客
07-20 1635
点击劫持:X-Frame-Options 点击劫持是一种视觉欺骗手段,在web端就是iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。 我们真正要做的,并不是把自己的页面放到iframe里嵌入别人的页面,而是要把别人的页面利用iframe嵌入到自己的网站页面中来,再通过UI上面的欺骗,诱使用户“做他原本不想做的事情”。 参考链接:https://...
禁止网站被别人通过 iframe 引用
grootbaby
03-31 1180
禁止网站被别人通过 iframe 引用的七种方案
设置iframe不可点击
qq_42038997的博客
09-20 2567
设置iframe不可点击
如何禁用Iframe链接网站
web前端开发
03-12 772
来源 | www.fly63.com背景网络安全是经常被忽略的一个问题,特别是对于小公司,由于用户量不大,可能根本不会考虑这些问题,但是如果能提前避免为什么不提前做防御呢?今天说下如何避免...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值