安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 技术关注 > WEB安全 > Web服务器点击劫持(ClickJacking)的安全防范

Web服务器点击劫持(ClickJacking)的安全防范

时间:2018-08-09来源:未知 作者:安云网点击:
一.介绍 ClickJacking即点击劫持,是一种将恶意代码经过处理使其变成透明、不可见的iframe,并将其覆盖在一个网页上,然后诱使用户在该网页上进行点击操作。通过改变iframe的在页面的位置,可以诱使用户正好点击我们设置好的透
//内容来自安云网

一.介绍

ClickJacking即点击劫持,是一种将恶意代码经过处理使其变成透明、不可见的iframe,并将其覆盖在一个网页上,然后诱使用户在该网页上进行点击操作。通过改变iframe的在页面的位置,可以诱使用户正好点击我们设置好的透明iframe。

//内容来自安云网

二.防御

1.Frame Busting

这种方式是通过写JavaScript来禁止iframe嵌套,因为可以轻易饶过,所以这里不介绍了。具体攻防参照 //内容来自AnYun.ORG

http://seclab.stanford.edu/websec/framebusting/framebust.pdf

2.设置HTTP请求头(X-Frame-Options)

X-Frame-Options HTTP 响应头,可以指示浏览器是否应该加载一个iframe中的页面。网站可以通过设置X-Frame-Options阻止站点内的页面被其他页面嵌入从而防止点击劫持。

X-Frame-Options共有三个值:

DENY:任何页面都不能被嵌入到iframe或者frame中。

SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。

ALLOW-FROM URI:页面自能被指定的Uri嵌入到iframe或frame中。

例:以限制任何页面都不能被嵌入到iframe为例,分别在apache、IIS和Nginx中配置。

(1).apache配置

修改httpd.conf,添加下面内容。

Header always append X-Frame-Options DENY

如果同一台apache服务器上有多个站点,只想针对其中一个站点进行配置,可以修改.htaccess文件,添加如下内容:

Header append X-FRAME-OPTIONS "DENY"

(2).IIS配置

在web站点的web.config中配置。


<system.webServer>......<httpProtocol><customHeaders><add name="X-Frame-Options" value="DENY" /></customHeaders></httpProtocol>......</system.webServer>

(3).Nginx配置

修改nginx.conf,在server下添加下面内容。

add_header X-Frame-Options "DENY";

添加完成如下:

server{	listen 80;	server_name www.dqiang.com;	index index.html;	add_header X-Frame-Options "DENY";}




from:https://blog.csdn.net/stemq/article/details/54318125

本文标题: Web服务器点击劫持(ClickJacking)的安全防范 安云网
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容