前端点击劫持

点击劫持

  • 用户亲手操作---盗取用户资金(转账,消费)
  • 用户不知情---获取用户敏感信息
  • ....if

利用 iframe 内嵌页面,并将原页面透明度设置为零,这样实现点击劫持

点击劫持防御

  • JavaScript 禁止内嵌

    • 在内嵌页面中topwindow不等
if (top.loaction != window.location) {
  top.location = window.location;
}

但这种方式有时并不完全有效,因为攻击者是可以禁止 JavaScript 脚本的

<iframe
  sandbox="allow-forms"
  style="opacity:"
  src="..."
  width="800"
  height="600"
></iframe>

H5 的 sandbox 属性就可以让攻击得到想要的结果

  • X-FRAME-OPTIONS 禁止内嵌

这种方式可以有效解决上述问题

加入组织内嵌的头部,这样就可以解决上面的问题,这种方式也是防御点击劫持最有效的

ctx.set(‘X-Frame-Options‘,‘DENY‘)

  • 其他辅助手段

    • 加验证码
    • 影响用体验,但可以有效预防,不能完全预防
    • 仅仅是辅助手段,并不能根本解决

原文地址:https://www.cnblogs.com/ygjzs/p/12244189.html

时间: 2024-10-07 16:48:55

前端点击劫持的相关文章

ASP.NET MVC 防止前端点击劫持

前端点击劫持的原理:通过向我们的页面中添加Iframe,并将Iframe设置成透明,在页面相应的地方设置一些操作引导,让用户在不知不觉中发送一些请求. 解决前端点击劫持的手段就是在服务器端的响应报文中增加X-Frame-Options配置.X-Frame-Options值有3种: 1.DENY:无论如何不在框架中显示. 2.SAMEORIGIN: 仅在同源域名下的框架中显示. 3.ALLOW-FROM uri:仅在指定域名下的框架中显示. 配置X-Frame-Options的手段也有多种: 1.

前端点击删除按钮删除table表格的数据

1 table.on('tool(hostTable)', function (obj) { 2 var data = obj.data;//须写 3 if (obj.event === 'del') { 4 var parents = $(this).parents('.elementClass'); 5 operateId = $(parents).attr('id'); 6 layer.confirm('确认删除么', function (index) { 7 1.找到删除按钮所在的父元素

前端点击按钮复制内容

一.VUE 效果: 代码: 1 <template> 2 <div> 3 <el-row style="height:40px" type="flex"> 4 <el-col :span="6"> 5 <p>{{res}}</p></el-col> 6 <el-col :span="2"> 7 <el-button type=

&lt;转&gt;【读fastclick源码有感】彻底解决tap“点透”,提升移动端点击响应速度

[读fastclick源码有感]彻底解决tap“点透”,提升移动端点击响应速度 前言 读fastclick源码 绑定事件 stopImmediatePropagation 测试入口 帮助理解的图 为什么zepto会点透/fastclick如何解决点透 后记 结语 申明!!!最后发现判断有误,各位读读就好,正在研究中.....尼玛水太深了 前言 近期使用tap事件为老夫带来了这样那样的问题,其中一个问题是解决了点透还需要将原来一个个click变为tap,这样的话我们就抛弃了ie用户当然可以做兼容,

点击劫持漏洞

0x01:什么是点击劫持 点击劫持是一种视觉上的欺骗手段,攻击者使用一个透明的.不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击了透明的iframe页面.通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上,攻击者常常配合社工手段完成攻击. 0x02 漏洞危害 攻击者精心构建的另一个置于原网页上面的透明页面.其他访客在用户毫不知情的情况下点击攻击者的页面从而完成攻击.具体危害取决Web应用. 0x03 POC

百度贴吧点击劫持(可恶意刷粉丝)及解决方案

百度贴吧没考虑点击劫持防御,可造成恶意刷粉丝.估计很多地方都没考虑,还可以继续挖. 点击劫持(ClickJacking)是由互联网安全专家罗伯特.汉森和耶利米.格劳斯在2008年首创的.是一种视觉欺骗手段,在Web端就是Iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置. 百度贴吧页面没考虑该漏洞,可以导致恶意刷粉丝. 想象一下,我在某个大号下留个劲爆消息,诱导用户到我的域名点击按钮,最后大家都成我贴吧的粉丝了. 我的本地页面代码: <html> &

《白帽子讲WEB安全》学习笔记之第5章 点击劫持(clickjacking)

第5章 点击劫持(clickjacking) 5.1 什么是点击劫持 点击劫持是一种视觉上的欺骗手段.是一种在网页中将恶意代码等隐藏在看似无害的内容(如按钮)之下,并诱使用户点击的手段. 主要特征 q  点击劫持是一种恶意攻击技术,用于跟踪网络用户,获取其私密信息或者通过让用户点击看似正常的网页来远程控制其电脑.很多浏览器和操作平台都有这样的漏洞. q  点击劫持技术可以用嵌入代码或者文本的形式出现,在用户毫不知情的情况下完成攻击,比如点击一个表面显示是"播放"某个视频的按钮,而实际上

移动端点击300ms延迟

转载自:http://www.jianshu.com/p/6e2b68a93c88 一.移动端300ms点击延迟 一般情况下,如果没有经过特殊处理,移动端浏览器在派发点击事件的时候,通常会出现300ms左右的延迟.也就是说,当我们点击页面的时候移动端浏览器并不是立即作出反应,而是会等上一小会儿才会出现点击的效果.在移动WEB兴起的初期,用户对300ms的延迟感觉不明显.但是,随着用户对交互体验的要求越来越高,现今,移动端300ms的点击延迟逐渐变得明显而无法忍受. 那么,移动端300ms的点击延

后台找到repeater里面的div并添加客户端点击事件

public partial class Inv_SelectWorkservice : System.Web.UI.Page,IPostBackEventHandler{ } 通过OnItemCreated 找到repeater里面的div并添加客户端点击事件div要加上runat="server" id="itemTy" onclick="test" 后台: protected void Repeater2_ItemCreated(objec