点击劫持与网站禁止iframe引入

最新推荐文章于 2024-07-03 22:19:33 发布
原创 最新推荐文章于 2024-07-03 22:19:33 发布 · 579 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#js #javascript #html

本文介绍了作者在研究Web安全时,针对点击劫持问题进行的实践。通过创建一个HTML页面并使用iframe引用本地运行的nginx服务,设置nginx配置文件中的X-Frame-Options为DENY,成功防止了点击劫持。在浏览器中查看响应头确认设置已生效。

最近一直在研究web安全方面的知识,研究到了点击劫持这里,所以就来实践一把。
首先创建一个html使用iframe引用一个本地用ngxin 起的web服务;
在这里插入图片描述

使用的是nginx,直接展示nginx.conf文件配置;加上这个头后记得nginx -s resload一下,重启之后记得要强制刷新一下浏览器Ctrl+F5
(windows)要是不行就多刷两遍哈。
在这里插入图片描述
然后你就会见到一个这么个玩意,这就代表成功了。
在这里插入图片描述
看一下返回的headers;已经设置上x-frame-options: DENY.
在这里插入图片描述

防止被IFRAME嵌套并自动跳到首页代码.rar
07-04
然而,它也可能被滥用,用于进行点击劫持、跨站脚本攻击(XSS)等恶意活动。 描述中提到的测试方法,是验证这段JS代码是否有效防止了IFRAME嵌套的过程。当A站全局引入这段JS代码后,任何试图在B站的IFRAME中加载A站...
PHP、Nginx、Apache中禁止网页被iframe引用的方法
01-20
可以使用php或nginx等添加X-Frame-Options header来控制frame权限X-Frame-Options有三个可选的值: DENY:浏览器拒绝当前页面加载任何Frame页面SAMEORIGIN:frame页面的地址只能为同源域名下的页面ALLOW-FROM:允许frame加载的页面地址 PHP代码:复制代码 代码如下:header(‘X-Frame-Options:Deny’); Nginx配置:复制代码 代码如下:add_header X-Frame-Options SAMEORIGIN 可以加在locaion中复制代码 代码如下:location /{  add_he
禁止网站iframe引用
刘杨造梦的博客
05-31 975
解决方案一:js方法 这种方法不可靠,不推荐使用 <script type="text/javascript"> if(self != top) { top.location = self.location; } </script> 解决方案二:Meta标签方法 <meta http-equiv="X-FRAME-OPTIONS" content="DENY"> 以上两种为前端处理方法,不推荐使用。 解决方案三:PHP方法 <?php header
点击按钮弹出iframe_WEB安全(四) :CSRF点击劫持
weixin_39531594的博客
12-10 852
跨站点请求伪造 CSRF是跨站点请求伪造,它的请求有两个关键点,跨站点的请求请求是伪造的, 从字面上看,跨站点的请求来源应该是其他站点,比如,目标网站接收到来源网站的恶意操作,但是,只要是恶意操作,即使是同源,也可以算作请求伪造,因为此操作并不是用户的意愿场景 当有两个网站A和B的时候,目标A网站有一个删除文章的功能,当我们请求的url为www.a.com/blog/del?id=...
什么是点击劫持
A526847的博客
06-17 418
通过控制 iframe 的长、宽,以及调整 top、left 的位置,可以把 iframe 页面内的任意部分 覆盖到任何地方。同时设置 iframe 的 position 为 absolute,并将 z-index 的值设置为最大,以达 到让 iframe 处于页面的最上层。攻击者使用一个透明的、不可见的 iframe,覆盖在一 个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的 iframe 页面。之相反的是,点击劫持没有这个顾虑,它利用的就是 用户产生交互的页面。
web安全——点击劫持
2301_77472496的博客
08-29 416
点击劫持是一种视觉上的欺骗手段。攻击者一般使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上。通过控制iframe的长、宽,以及调整top、left位置,可以把iframe页面内任意部分覆盖到任何地方。同时设置iframe的position为absolute,并将z-index的值设置为最大,以达到让iframe处于页面的最上层。
点击劫持学习
qq_51558360的博客
02-18 520
什么是点击劫持 点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 将iframe页面透明度调至最透明,将看不到iframe页面 但其实页面是这样的 在登录页面输入其实内容被输入到了iframe页面 代码 危害 1.盗取用户资金 2.获得用户的敏感信息 3.XSS或CSRF等其他攻击手段
浏览器点击劫持详解
悦分享
07-03 288
点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。点击劫持原理示意图:看下面这个例子。在 h tp://www.a.com/test.html页面中插入了一个指向目标网站iframe,出于演示的目的,我们让这个iframe变成半透明:
点击劫持攻击的原理应对措施
攻击者借助社会工程学手段和恶意代码(如iFrame嵌套、页面透明度设置等),将目标网站或页面透明覆盖在诱骗用户点击的页面上。当用户点击页面上的内容时,实际上是在执行恶意代码,从而导致各种问题和风险。 ## 1.2...
LikeJacker:基于jQuery的点击劫持演示插件
由于现代浏览器出于安全考虑,默认禁止跨域 iframe 中的敏感按钮被直接点击(即无法触发实际交互),因此攻击者不能简单地通过覆盖透明图层来实现劫持。为绕过这一限制,LikeJacker 引入了时间延迟机制:当用户将...
腾讯im通过iframe引入无法请求通知权限
最新发布
08-27
我们正在处理用户的问题:在使用腾讯IM时,通过iframe引入页面无法请求通知权限的问题。具体来说,用户遇到了iframe嵌入页面无法获取通知权限的情况。 根据引用内容,特别是引用[1]和引用[2],我们可以了解到在...
界面劫持之点击劫持
d59hao的博客
06-13 782
界面操作劫持攻击实际上是一种基于视觉欺骗的 web 会话劫持攻击,核心在于使用了标签中的透明属性,他通过在网页的可见输入控件上覆盖一个不可见的框,使得用户误以为在操作可见控件,而实际上用户的操作行为被其不可见的框所劫持,执行不可见框中的恶意代码,达到窃取信息,控制会话,植入木马等目的。因为首先劫持的是用户的鼠标点击操作,所以命名叫点击劫持。最新版本的浏览器提供很多防御点击劫持漏洞的安全机制,对于普通的互联网用户,经常更新修复浏览器的安全漏洞,能够最有效的防止恶意攻击。
点击劫持iframe覆盖 学习笔记
Yoo_666的博客
07-25 1526
文章目录点击劫持分类iframe覆盖原理相关技术运用结合CSRF结合XSS示例代码防御方法X-FRAME-OPTIONS机制使用 FrameBusting 代码使用认证码认证用户 点击劫持 点击劫持 (Clickjacking) 技术又称为界面伪装攻击 (UI redress attack ),是一种视觉上的欺骗手段 分类 iframe覆盖 图片覆盖 iframe覆盖 原理 攻击者使用一个或多个透明的 iframe 覆盖在一个正常的网页上,然后诱使用户在该网页上进行操作,当用户在不知情的情况下点击
点击劫持漏洞(ClickJacking)
墨痕诉清风的博客
04-24 377
官方定义:点击劫持(也称为界面伪装攻击或UI矫正攻击)是一种网络攻击手段,通过篡改网页或利用其他技术手段,使用户在点击某个链接时,重定向到攻击者控制的网页或执行恶意操作,从而获取用户的隐私信息或进行其他非法活动。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。创建虚假页面,iframe src=嵌入要欺骗点击的页面,这里要对一下坐标,让虚假的按钮可正好点击到用户要被欺骗的页面按钮。SAMEORIGIN:frame页面的地址只能为同源域名下的页面。
点击劫持(ClickJacking)
热门推荐
qq_56327824的博客
03-30 1万+
点击劫持(ClickJacking) 什么是点击劫持 点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的,不可见的iframe,覆盖在一个网页上,然后诱导使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱导用户恰巧点击在iframe页面的一些功能性按键上 不懂iframe是干什么的同学,自己补充一下 利用iframe <!DOCTYPE html> <html lang="en"> <head>
Web安全之点击劫持(ClickJacking)
weixin_33871366的博客
03-06 1091
点击劫持(ClickJacking)是一种视觉上的欺骗手段。大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义; iframe覆盖 直接示例说明 1. 假如我们在百度有个贴吧,想偷偷让别人关注它。于是我们准备一个页面: &l...
点击劫持:X-Frame-Options
七月_的博客
07-20 1651
点击劫持:X-Frame-Options 点击劫持是一种视觉欺骗手段,在web端就是iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。 我们真正要做的,并不是把自己的页面放到iframe里嵌入别人的页面,而是要把别人的页面利用iframe嵌入到自己的网站页面中来,再通过UI上面的欺骗,诱使用户“做他原本不想做的事情”。 参考链接:https://...
禁止网站被别人通过 iframe 引用
grootbaby
03-31 1252
禁止网站被别人通过 iframe 引用的七种方案
设置iframe不可点击
qq_42038997的博客
09-20 2669
设置iframe不可点击
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值