白帽子將web安全-點(diǎn)擊劫持

一點(diǎn)擊劫持

點(diǎn)擊劫持是視覺上的一種欺騙手段。攻擊者使用一個(gè)透明的,不可見的iframe,覆蓋在一個(gè)網(wǎng)頁上,誘導(dǎo)用戶點(diǎn)擊。

點(diǎn)擊劫持域CSRF攻擊有著異曲同工之妙,都是在用戶不知情的情況下完成操作。但是在CSRF攻擊中,如果出現(xiàn)用戶交互的頁面,則攻擊者可能無法順利完成。與之相很反的是,點(diǎn)擊劫持沒有這個(gè)顧慮,他利用的就是域用戶產(chǎn)生交互頁面。

像Flash點(diǎn)擊劫持,圖片覆蓋攻擊,拖拽劫持與數(shù)據(jù)竊取,觸屏劫持。

二防御clickjacking

1 frame busting

通常可以寫一段JavaScript代碼,防止iframe嵌套。

2 X-Frame-Option

因?yàn)樯厦娣椒ㄓ欣@過的可能,一個(gè)好的解決方案就是使用一個(gè)HTTP頭,X-Frame-Option,專門為了防御點(diǎn)擊劫持制定的,當(dāng)值為deny,瀏覽器會(huì)拒絕加載frame頁面。

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容