@scream
2年前 提问
1个回答
点击劫持的原理
Ann
2年前
点击劫持是一种视觉欺骗的攻击手段。攻击者将需要攻击的网站通过 iframe 嵌套的方式嵌入自己的网页中,并将 iframe 设置为透明,在页面中透出一个按钮诱导用户点击。点击劫持的原理:
用户在登陆 A 网站的系统后,被攻击者诱惑打开第三方网站,而第三方网站通过 iframe 引入了 A 网站的页面内容,用户在第三方网站中点击某个按钮(被装饰的按钮),实际上是点击了 A 网站的按钮。
浏览器端常见的一种防护机制,是框架清除脚本。但攻击者可以轻松绕过。点击劫持是浏览器端的行为,服务器端点击劫持的两种保护机制是 X-Frame-Options 和 Content-Security-Policy:
X选项
X-Frame-Options最初是作为IE8中的非官方响应头,后在其它浏览器中采用。标头为网站所有者提供了对 iframe 或对象的使用的控制权,可以通过以下方式禁用框架中包含的网页。
内容安全策略(CSP)
CSP是一种浏览器安全机制,旨在减少XSS和其它攻击。工作原理是限制页面可以加载的资源(eg:脚本和图像)并限制页面是否受其它页面框的影响。
启用CSP,响应需要包含一个HTTP响应标题 Content-Security-Policy 该标题具有包含策略的价值。该策略本身由一个或多个指令组成,中间由分号隔开。