Mar*_*ind 4 csrf x-frame-options clickjacking
假设我的Web应用程序受到CSRF令牌的CSRF攻击保护,此外,它还使用SSL并受到XSS攻击防护.此外,出于此问题的目的,假设它仅用于最近的浏览器并且它们没有错误.我可以使用X-Frame-Options:Deny标头来防止基于帧的点击劫持,但是我没有看到它将提供什么额外的保护,因为任何基于帧的表单提交都缺少CSRF令牌.(并且同源策略阻止攻击者的JavaScript发现CSRF令牌.)问题:
还有其他一种不基于框架的点击劫持吗?(即,是一个X-Frame-Options:拒绝完全的点击劫持防御?)
在没有X-Frame-Options:Deny标头的情况下,根据上述假设,点击劫持攻击仍有可能成功吗?
(我问的不是因为我想阻止基于帧的点击劫持,因为我确实包含了X-Frame-Options:Deny头.相反,我试图理解点击劫持攻击的范围.)
做一些更多的研究,我想我已经回答了我自己的问题:覆盖的,透明的iframe使得网站受到攻击,正常访问.例如,它可能是一个带有按钮的页面,用于删除照片,电子邮件等.来自攻击者网站的可见页面完全是用于参加比赛的其他内容,其中的按钮位于iframe按钮的正确位置.因此,这不是CSRF的案例,因为提交的表格不是伪造的; 它在各方面都是真实的,并没有被改变.
解决方案是禁止将网站加载到框架中,这就是X-Frame-Options:Deny所做的.
| 归档时间: |
|
| 查看次数: |
1812 次 |
| 最近记录: |