web安全:click jacking

点击劫持  click jacking
通过iframe加载被攻击网站到黑客自己维护的网站
通过z-index叠加和position定位,将2个网站的信息堆叠在一个立体投影面上,通过opacity设置透明度。
诱导普通用户点击按钮。

防御:
js防御:
if (top.location != self.location) {top.location=self.location;} 
最有效防御: 
X-FRAME-OPTIONS是微软提出的一个http头,专门用来防御利用iframe嵌套的点击劫持攻击

php中设置:header("X-FRAME-OPTIONS:DENY");
 DENY:拒绝任何域加载
 SAMEORIGIN :允许同源域下加载
ALLOW-FROM:可以定义允许frame加载的页面地址

时间: 2024-11-05 12:50:14

web安全:click jacking的相关文章

移动端web开发click touch tap区别

移动端用tap时会有穿透问题 一:click与tap比较 click与tap都会触发点击事件,但是在手机web端,click会有200-300ms的延迟,所以一般用tap代替click作为点击事件.singleTap 和doubleTap分别代表单次点击和双次点击 二:tap的穿透处理 使用zepto框架的tap的点击事件,来规避click事件的延迟响应,会出现穿透,即点击会触发非当前层的点击事件. 三:穿透原因 问题:在html5点击了q以后,弹出b的弹框 因为tap事件是通过document

开发移动端web页面click事件失效问题

这两天在做一个WAP页面,在chrome上模拟移动端的时候,都好好的,然而放到手机上测试时, 发现有些点击事件直接无反应,但是有些有反应: 难道是由于我页面上有用到滚动插件,里面的touch事件的preventDefault导致click失效? 于是,换成了touchSart事件试了下,效果比之前略好,但是,有重复点击事件,本小白排查了一会儿, 发现页面上明明在滚动区域有别的点击事件,为毛别的用的好好的,就这个不行,仔细对比,发现别的都是A标签, 无效的是DIV,于是,我就像发现了新大陆一样,麻

Getting Started with ASP.NET Web API 2 (C#)

By Mike Wasson|last updated May 28, 2015 7556 of 8454 people found this helpful Print Download Completed Project HTTP is not just for serving up web pages. It is also a powerful platform for building APIs that expose services and data. HTTP is simple

[转]Getting Started with ASP.NET Web API 2 (C#)

http://www.asp.net/web-api 本文转自:http://www.asp.net/web-api/overview/getting-started-with-aspnet-web-api/tutorial-your-first-web-api By          Mike WassonMike Wasson|January 20, 2014 Print Tweet Download Completed Project HTTP is not just for servin

Microsoft Azure Tutorial: Build your first movie inventory web app with just a few lines of code

Editor's Note: The following is a guest post from Mustafa Mahmutovi?, a Microsoft Student Partner who attends the Faculty of Electrical Engineering at the University of Sarajevo where he is a Computer Science Major. In this tutorial, you will learn h

selenium-java web自动化测试工具

本篇文章由来,这两天整理了下自己经常使用而且很熟练的项目,今天突然想起漏了一个,补上了,但想到还没对应的博客,那就写一个简单的 我经常使用且相对熟练的部分技术如下(不知道算不算各位大神眼中的辣鸡): 传统的web项目测试,大多数都依靠测试部门小伙伴人工操作,费时费力还容易侧漏`(*∩_∩*)′  错了 是漏测, 而selenium则为项目的测试提供了很大的便利,但并不是所有项目都适合, 哪些适合呢:公司自己的产品,且需要经常回归测试,比如类似OA这类业务系统产品 不适合的呢:比如外包业务,快速交

apache2.2.15漏洞解决办法

1.服务器扫面 ■ HTTP TRACE Method Enabled 说明: Apache服务器启用了TRACE Method. 1.TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容. 2. 由于该方法会原样返回客户端提交的任意数据,因此可以用来进行跨站脚本简称XSS攻击,这种攻击方式又称为跨站跟踪攻击简称XST. 危害: 1. 恶意攻击者可以通过TRACE Method返回的信息了解到网站前端的一些信息,如缓存服务器

图解HTTP读书笔记(十)

图解HTTP读书笔记(十) Web的攻击技术 HTTP协议本身并不存在安全性问题,因此协议本身几乎不会成为攻击对象.应用HTTP协议的服务器和客户端,以及运行在服务器上的Web应用资源才是攻击目标. 在客户端即可篡改请求 在Web应用中,从浏览器那接收到的HTTP请求的全部内容,都可以在客户端自由的变更.篡改. 在HTTP请求报文内加载攻击代码,就能发起对Web应用的攻击.通过URL查询字段或表单.HTTP首部,Cookie等途径把攻击代码传入,若这时Web应用存在安全漏洞,那内部信息就会遭到窃

Cacti 模板(图形模板、数据模板、主机模板)与自定义监控脚本

Cacti定义了三种类型的模板,分别是 主机模板 数据模板 图形模板     主机模板(Host templates),它是图像模板和数据查询的一个集合,描述了监控某一类型的机器需要生成那些图像. 数据模板(Data templates),它描述了 Cacti 存储哪些数据到指定类型的 RRD 文件.该模板与 RRDTool 工具的 create 命令相关. 图形模板(Graph templates),描述了生成的一张图像应该是什么样子的.包括使用哪些数据模板.展示哪些元素.是否使用 CDEF