Har*_*idi 1 security iframe clickjacking
我已经阅读了很多有关iframe和clickjacking的信息,但无法找到我想要的信息。您能帮我解决以下问题吗?
iframe点击劫持如何传播?我看过很多文章,提到在本地计算机上编辑html代码,同样,他们也可以通过添加一个不可见的按钮来劫持用户的点击。但是,这是用户本地计算机上的修改逻辑。我很想知道是否可以将相同的代码推送到云中并影响每个登录或使用该门户的用户?如果是,怎么办?
如果我在网站上启用了iframe选项,则存在安全风险,因为我的页面可以作为iframe加载到其他人的网站中,并且他们可能会滥用它。并且,如果有任何安全数据,如果最终用户不小心进入该网站,该数据将被黑客入侵。这是出于安全考虑,因此始终建议不要使用iframe,对吗?还有其他安全风险吗?
如果还有其他风险,请添加。
点击劫持不会传播。
它的字面意思是:增加点击次数,仅此而已。但是,这些点击的后果可能很严重。
假设您访问一个网站,evil.example.org。在另一个标签中,您还登录了银行bank.example.com。
evil.example.org也加载bank.example.com到IFrame中。但是,它使用CSS使该IFrame不可见。并且它不加载主页,而是通过一些参数加载转帐页面:
<iframe src="https://bank.example.com/loggedIn/transferMoney?toAccount=Bob&amount=100000"></iframe>
现在,此页面不会立即转账。它要求用户单击以确认转移到Bob。
然而,evil.example.org绘制下方的按钮,右侧Confirm Transfer按钮说法Free iPad click here。
由于IFrame不可见,因此用户只会看到Free iPad click here。但是,当他们单击时,浏览器会将点击注册为Confirm Transfer。
因为您在另一个标签中登录了银行站点,所以Bob刚刚给您划了一笔钱。
请注意,如果将X-Frame-Options标题设置为SAMEORIGIN或,则标题可在您的网站上修复此漏洞DENY。在添加标题之前,您很容易受到攻击。CSP中有一个新指令称为frame ancestors-但是,只有最新的浏览器才支持它,因此,最好此时添加两个标头。这将为您提供Internet Explorer 8及更高版本以及Chrome,Firefox,Opera和Safari的保护。
防止构图还可以帮助阻止诸如“ 跨站点历史记录操纵”之类的攻击。
| 归档时间: |
|
| 查看次数: |
748 次 |
| 最近记录: |