标签:frame Frame 点击 头未 iframe Options 页面
问题:响应头未设置X-Frame-Options
描述:
由于应用未设置响应头X-Frame-Options,易受到点击劫持攻击。点击劫持是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的
iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击了透明的iframe页面。通过调整iframe页面
的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上,攻击者常常配合社工手段完成攻击。例如,攻击者通过flash构造出的点击
劫持,可以控制用户电脑的摄像头。随着触屏技术的发展,点击劫持的攻击方式也更进一步,由于手机屏幕范围有限,手机浏览器为了节省空间
把地址栏隐藏起来,因此在手机上的视觉欺骗更容易实施。
漏洞解决方案:
- 通过javascript代码来禁止iframe的嵌套,即frame busting方法。
- 通过设置响应头X-Frame-Options来限制iframe的加载,DENY:拒绝
浏览器加载任何frame页面,SAMEORIGIN:frame页面地址只能是同源域名下的页面, ALLOW-FROM:可自定义允许frame加载页面地址。 - 此外,有的浏览器厂商也增加扩展功能来防御clickjacking,如firefox的”content security policy"和"No-script"
具体操作
nginx:
配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到 ‘http’, ‘server’ 或者 ‘location’ 的配置中:
## 表示该页面可以在相同域名页面的 frame 中展示
add_header X-Frame-Options SAMEORIGIN;
## 表示该页面可以在指定来源的 frame 中展示
#add_header X-Frame-Options "ALLOW-FROM http://domain.com";
参考文章:
https://blog.csdn.net/qq_25934401/article/details/81384876
标签:frame,Frame,点击,头未,iframe,Options,页面 来源: https://blog.csdn.net/LiushaoMr/article/details/120233653
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。