一、點擊劫持是什么?
點擊劫持,也稱為UI覆寫攻擊 ,通過引誘、傭訓用戶點擊到用戶想去的網站(其實這個網站是攻擊者做的),用iframe嵌套(或者其他技術均可,反正能夠隱藏自己寫的惡意鏈接或者網站)用戶想看的網站,將自己的惡意鏈接隱藏,在使用技術手段將自己隱藏的網站覆寫在嵌套的iframe目標網站上(可以通過z-index設定),然后用戶點擊網站內容時,感覺是點擊正常的目標網站,但是點擊的是黑客隱藏的網站鏈接,
二、攻擊原理
1.黑客創建一個網頁利用iframe包含目標網站,隱藏自己的攻擊網站,引誘用戶點擊特定鏈接或者按鈕,用戶感覺是點擊了目標網站的按鈕或者鏈接,實際上點擊的是黑客網站的按鈕或者鏈接,
2、用戶不知情的情況下點擊按鈕,進行危險操作
三、如何防護
使用HTTP回應頭-X-Frame-Options,
可選值:
DENY: 拒絕任何freme頁面
SAMEORIGIN: frame頁面地址只能為同源域名下面
ALLOW-FORM origin:y允許frame加載的頁面地址
如果我們是用nginx做集群或負載均衡一般都是配置在nginx,要不然還得一個服務器一個服務器的配置,配置如下:
add_header X-Frame-Options: SAMEORIGIN;
在tomcat/conf/web.xml中配置,這個配置在tomcat/conf/web.xml中有,去掉注釋就行,
<filter-mapping>
<filter-name>httpHeaderSecurity</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>
<filter>
<filter-name>httpHeaderSecurity</filter-name>
<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
<init-param>
<param-name>antiClickJackingOption</param-name>
<param-value>SAMEORIGIN</param-value>
</init-param>
<async-supported>true</async-supported>
</filter>
或則也可以在resport物件中設定影響頭,不過這個方式很麻煩,需要每個頁面都配置一次,
resport.addHeader("-X-Frame-Options", "SAMEORIGIN");
當我們設定了這個回應頭之后,再跨域的情況下使用iframe加載網站:
轉載請註明出處,本文鏈接:https://www.uj5u.com/qukuanlian/389365.html
標籤:區塊鏈
上一篇:2021全國職業技能大賽浙江省嘉興市“網路空間安全賽項”賽題及賽題決議(超詳細)
下一篇:【千鋒】網路安全學習筆記(四)