オリジナルます。https://beenle-xiaojie.github.io/2019/01/07/ClickJacking/
はじめ のページはiframe内に埋め込まれたときに、セキュリティテストは、私にはとても新鮮な語彙を提案-クリックジャッキングは、セキュリティ上のリスクをもたらすことができます。 1.クリックジャッキングとは何ですか? ハイジャック(クリックジャッキング)をクリックして視覚的に詐欺です。まず、攻撃者がページ上にオーバーレイ透明のiframeを使用して、そのページ上で動作するようにユーザーを説得大きく二つの方法があり、その後、ユーザーが知らないうちに透明のiframeページをクリックします。2ページ上の画像、つまり元のブロッキング位置のページを使用して、攻撃者によって覆われている。 簡単に言えば、ユーザーがボタンをクリックしますが、操作は通常予想されるイベントを受信しませんでしたが、他の不要な操作をトリガ... 2.解 X-フレーム・オプションレスポンスヘッダの設定は、クリックジャッキング攻撃を回避するための 原理を: X-フレーム・オプションHTTPレスポンスヘッダは、内のページの可能性を許可するようにブラウザに指示するために使用される< 枠>、< 。のiframe >または< オブジェクト> でのマークが表示されます。クリックジャッキング(クリックジャッキング)攻撃を回避するために、Webサイトは、サイトのコンテンツは行く他の人のウェブサイトに埋め込まれていないことを確認するために、この機能を使用することができます。 X-フレーム・オプション(属性値が大文字と小文字を区別しません)3つの、設定値があります 1。 2 3。 X-フレーム-オプション:DENY フレーム・オプション-X-:SAMEORIGIN X-フレーム・オプション]を:ALLOW-FROM コマンド 他のサイトからロードされたときに指定されている場合は、DENYは、だけでなく、同じサイトからロードするときに失敗します、そうしようとフレーム内のページをロードしようとする試みに失敗しました。あなたがSAMEORIGINを指定した場合一方、限り、ページが務めとしてサイトを同じサイトの枠組みに含まれているとして、あなたはまだフレームで、このページを使用することができます。 かかわらず、サイトのそうしようとする試みをDENY、ページがフレーム内に表示することはできません。このページをSAMEORIGINのみページ自体同じソースフレーム上に表示することができます。uri_ページのみ指定原点フレームに表示されます-のFrom_ができます。 現在のプロジェクトは、nginxの上に配備され、あなたもApacheのは、IISなどを設定することができ、これに加えて、それは構成に一例であることをnginxの 構成: 第1位は/opt/nginx/conf.d/example.conf nginxので書かれている。 1 2 3。 はadd_header-X-フレーム・オプション"できるよう-HTTPSから://example.com/"; 直接可能にしますドメインライト はadd_header-「allow-example.com/から」X-フレーム・オプションを、 #2がピット段差 エラーうクロムに見出さ、エラーメッセージは以下の通りである: 1 無効な「X-フレーム・オプション」 「example.com:8081/app.html」をロードするときに遭遇したヘッダ:..「許可-からexample.com/」ヘッダは無視されます認識ディレクティブでない 調査がで発見された後、コンテンツセキュリティポリシーのパラメータを使用するにはChromeとSafariの で#3セットのコンテンツセキュリティポリシーを。 1 はadd_headerコンテンツ・セキュリティ・ポリシー「のフレーム-祖先example.com」; 3.参照リンクの ウェブ安全な場所-クリックジャッキング攻撃と防御技術的な概要 脆弱クリックジャッキングの原則 4.知識ポイント アンチホットリンク攻撃を