点击劫持
参考答案:
- Clickjacking: 点击劫持,是指利用透明的按钮或连接做成陷阱,覆盖在 Web 页面之上。然后诱使用户在不知情的情况下,点击那个连接访问内容的一种攻击手段。这种行为又称为界面伪装(UI Redressing) 。
- 大概有两种方式:
攻击者使用一个透明 iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的 iframe 页面;
攻击者使用一张图片覆盖在网页,遮挡网页原有的位置含义。
一般步骤
- 黑客创建一个网页利用 iframe 包含目标网站;
- 隐藏目标网站,使用户无法无法察觉到目标网站存在;
- 构造网页,诱变用户点击特点按钮
- 用户在不知情的情况下点击按钮,触发执行恶意网页的命令。
防御
X-FRAME-OPTIONS;
X-FRAME-OPTIONS HTTP 响应头是用来给浏览器指示允许一个页面可否在<frame>,
<iframe> 或者 <object> 中展现的标记。
网站可以使用此功能,来确保自己网站内容没有被嵌到别人的网站中去,也从而避免点击劫持的攻击。
有三个值:
- DENY:表示页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
- SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。
- ALLOW-FROM url:表示该页面可以在指定来源的 frame 中展示。
题目要点:
答题要点:
点击劫持(Clickjacking)是一种攻击手段,通过覆盖在网页上的透明按钮或链接诱使用户点击,从而执行恶意操作。防御方法包括设置X-FRAME-OPTIONS HTTP响应头,其值有:DENY(禁止页面在frame中展示)、SAMEORIGIN(允许在相同域名页面的frame中展示)和ALLOW-FROM url(允许在指定来源的frame中展示)。