Оригинал: https: //beenle-xiaojie.github.io/2019/01/07/ClickJacking/
Введение Когда наша страница встроенная в IFRAME, тестирование безопасности предложила мне очень свежий словарный запас - ClickJacking, может представлять угрозу безопасности. 1. Что такое ClickJacking? Нажмите угон (ClickJacking) это визуальный обман. Есть примерно два пути, во- первых, злоумышленник использует прозрачный IFRAME, наложенного на странице, а затем убедить пользователя работать на странице, то пользователь нажмет прозрачную страницу Iframe незнанию, два покрыто злоумышленником с использованием изображений на странице, страниц в исходном положении блокировки означает, попросту говоря, является пользователь нажимает на кнопку, но операция не получила нормальное ожидаемое событие, но вызывает другие нежелательные операции ... 2. решение X-Frame-параметры конфигурации заголовка ответа , чтобы избежать ClickJacking атаки принцип: Опции X-Frame-заголовок ответа HTTP используется , чтобы инструктировать браузер , чтобы позволить возможность страницы в < кадр > , < IFrames. > или < Object > в показать знак. Веб - сайт может использовать эту функцию , чтобы гарантировать , что содержание вашего сайта не встроен в веб - сайты других людей идти, чтобы избежать ClickJacking (ClickJacking) атаки. X-Frame-Options Есть три конфигурируемых значения (значение атрибута не чувствительно к регистру) 1. 2 3. X-Frame-Options: ЗАПРЕТИТЬ Каркасные-Options-Х-: SAMEORIGIN 1 X-Frame-Options: allow- FROM команды , если указанные ЗАПРЕТИТЬ, при загрузке с других сайтов, не только не пытается загрузить страницу в кадре, попробуйте сделать это будет не загружаться с того же сайта. С другой стороны, если вы укажете SAMEORIGIN, до тех пор , как сайт включен в рамках одного и того же сайта, страница служил, вы можете использовать эту страницу в кадре. ЗАПРЕТИТЬ попытка сделать это независимо от сайта, страница не может быть отображена в кадре. SAMEORIGIN Эта страница может отображаться только на самой странице того же источника кадра. Allow-uri_ страница From в появляются только в обозначенном кадре происхождения. В настоящее время проект развернут на Nginx, Nginx, чтобы быть примером конфигурации, в дополнение к этому вы также можете настроить Apache, IIS и т.д. Конфигурация: . # 1 записывается в /opt/nginx/conf.d/example.conf Nginx 1 2 3. Add_header-X-Frame-Параметры "из-разрешения HTTPS: //example.com/"; быть непосредственно написать домен add_header-X-Frame-Options «из allow-example.com/», . # 2 активизировали яму найдено в хроме будет ошибка, то сообщение об ошибке выглядит следующим образом : Invalid «X-Frame-Options» заголовок встречается при загрузке «example.com:8081/app.html»: .. «Allow-из example.com/» не является признанным директива заголовок будет игнорироваться после того, как расследование находится в Chrome и Safari использовать Content-безопасность политику параметра # 3 набор Content-безопасность-политику с. 1 add_header Content-безопасность-Полис «каркасно-Предками example.com»; 3. ссылок , веб - безопасное место - ClickJacking нападения и защиты технический обзор принципы ClickJacking Уязвимости 4. точка знания анти-хотлинкинг атаки