2. 程式人生 > >web安全:防範點選劫持的兩種方式

web安全:防範點選劫持的兩種方式

阿新 發佈:2019-01-12

防範點選劫持的兩種方式

什麼點選劫持?最常見的是惡意網站使用 <iframe> 標籤把我方的一些含有重要資訊類如交易的網頁嵌入進去,然後把 iframe 設定透明,用定位的手段的把一些引誘使用者在惡意網頁上點選。這樣使用者不知不覺中就進行了某些不安全的操作。

有兩種方式可以防範:

使用 JS 防範:

if (top.location.hostname !== self.location.hostname) {
    alert("您正在訪問不安全的頁面,即將跳轉到安全頁面!");
    top.location.href = self.location.href;
}

 

使用 HTTP 頭防範:

通過配置 nginx 傳送 X-Frame-Options 響應頭,這樣瀏覽器就會阻止嵌入網頁的渲染。更詳細的可以查閱MDN上關於X-Frame-Options 響應頭的內容。

add_header X-Frame-Options SAMEORIGIN;

  

 

相關推薦

web安全防範劫持方式

防範點選劫持的兩種方式 什麼點選劫持?最常見的是惡意網站使用 <iframe> 標籤把我方的一些含有重要資訊類如交易的網頁嵌入進去,然後把 iframe 設定透明,用定位的手段的把一些引誘使用者在惡意網頁上點選。這樣使用者不知不覺中就進行了某些不安全的操作。 有兩

微信小程式防止重複處理方法

當用戶點選按鈕或控制元件時,如果響應比較慢,往往會重複點選,另外也會存在使用者故意反覆快速點選的情況,這種時候就會多次觸發點選事件造成非期望的結果。如何解決或避免這個問題呢?一般來說有兩種情況。 1、點選事件是執行請求 這種情況下可以在請求執行之前顯示一個模式的載入框,請求完

Android studio程式碼實現打電話+事件四方式

?Android系統架構(重點) 第一層:應用層Application 第二層:應用框架層Application Framework 第三層:Android底層類庫層 Libraries、Dalvik虛擬機器 第四層:linux核心層 linux kernel Android是執行在

Android模擬的四方式

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

zTree實現樹節點單方式

方式一:利用setting配置來實現單選按鈕功能         原理:取消父子節點聯動,設定節點的選擇框為radio單選框。    程式碼設定:     var setting = { ...... check: {

Web應用中建立Spring容器的方式

使用spring的web應用時,不用手動建立spring容器,而是通過配置檔案宣告式地建立spring容器,因此,在web應用中建立spring容器有如下兩種方式:一.直接在web.xml檔案中配置spring容器 二.利用第三方MVC框架的擴充套件點,建立spring容器

JsonjavaBean轉為Json的方式

<!--Json --> <dependency> <groupId>net.sf.json-lib</groupId> <arti

c程式設計求Fibonacci數列的方式

一種是輸入一個整數n,則程式輸出在n位置上的Fibonacii數字: #include<stdio.h> int Fibo(int n) { if(n==1||n==2) return 1; return Fibo(n-1)+Fibo(n-2); }

Spring系列教程八 Spring實現事務的方式

一、 Spring事務概念: 事務是一系列的動作,它們綜合在一起才是一個完整的工作單元,這些動作必須全部完成,如果有一個失敗的

Web伺服器劫持(ClickJacking)的安全防範

一.介紹 ClickJacking即點選劫持,是一種將惡意程式碼經過處理使其變成透明、不可見的iframe,並將其覆蓋在一個網頁上,然後誘使使用者在該網頁上進行點選操作。通過改變iframe的在頁面的位置,可以誘使使用者正好點選我們設定好的透明iframe。 二.防禦 1.

web安全(3)-- ClickJacking(劫持

“Clickjacking(點選劫持)是由網際網路安全專家羅伯特·漢森和耶利米·格勞斯曼在2008年提出的。是一種視覺欺騙手段,在web端就是iframe巢狀一個透明不可見的頁面,讓使用者在不知情的情況下,點選攻擊者想要欺騙使用者點選的位置。” 假設你訪問一個web站點並看到如下的頁面:

WEB安全基礎-劫持漏洞基礎

點選劫持漏洞 點選劫持:一個其他的網站,用iframe標籤,<iframe src=”http://xxx.xxx.xxx”></ifame> <style> Ht

web安全劫持(clickjacking)

百度解釋: 點選劫持,clickjacking,也被稱為UI-覆蓋攻擊。這個詞首次出現在2008年,是由網際網路安全專家羅伯特·漢森和耶利米·格勞斯曼首創的。 它是通過覆蓋不可見的框架誤導受害者點選。 雖然受害者點選的是他所看到的網頁,但其實他所點選的是被黑客精心構

web安全通俗易懂,以實例講述破解網站的原理及如何進行防護!如何讓網站變得更安全。收藏

調用 密碼破解 選項卡 講解 交互 不為 的人 文本 行修改 博主總結的還不錯 轉載收藏於 http://www.cnblogs.com/1996V/p/7458377.html 本篇以我自己的網站為例來通俗易懂的講述網站的常見漏洞,如何防止網站被入侵,如何讓網站

防範劫持

.com iframe 嵌入 alert pan hud OS != pre 一、點擊劫持 什麽點擊劫持?最常見的是惡意網站使用 <iframe> 標簽把我方的一些含有重要信息類如交易的網頁嵌入進去,然後把 iframe 設置透明,用定位的手段的把一些引誘用戶在

劫持 小例

點選劫持(UI-覆蓋攻擊/click jacking) 一個關於點選劫持的小示例,首相看下理論知識 專案思路 首先,製作一個功能頁面,作為被iframe巢狀的功能頁面;這個頁面的功能就是模仿投票功能,點選按鈕時,即可完成投票功能,控制檯會同步打印出操作資訊。 <!DOCTYPE

劫持(ClickJacking)

點選劫持 什麼是點選劫持? 利用方法 進階(本質上還是UI覆蓋攻擊,只是實現手段不一樣) 防禦 什麼是點選劫持? 點選劫持(ClickJacking),又稱“UI-覆蓋攻擊”,通過覆蓋不可見的框架誤導受害者進行點選而造成的攻擊

音樂網站開發實現按鈕切換頁面背景圖的功能

        最近這一星期在做一個簡單小型的音樂播放器網站,目前各種功能基本都已經實現,包括切換上一曲下一曲,播放與暫停,隨機播放單曲迴圈順序播放模式切換,一首播放完畢自動按模式切換至下一曲,載入單句歌詞及所有歌詞等功能。另外就是本篇部落格要介紹的功能了,點

python網路爬蟲(web spider)系統化整理總結(二)爬蟲python程式碼示例(響應格式json和html)

        上一篇部落格(入門知識篇),對爬蟲有了一個基本的瞭解,但是具體怎麼實現一個爬蟲程式呢?         一般情況下,我們在瀏覽器獲取資訊,是

Android RecyclerView事件實現的方式

因為經常會用到RecyclerView,今天在這裡總結一下實現RecyclerView點選事件的實現方法 一、通過介面回撥的方式實現     1. 首先定義一個點選的介面(Recyclerview自身不帶有點選事件的回撥) public interface OnRec