界面操做劫持攻擊原理與防護方法
1. 攻擊原理php
界面劫持,分爲點擊劫持、拖放劫持、觸屏劫持。就是咱們的點擊,拖放,觸屏操做被劫持了,而去操做了其它的透明隱藏的界面。其原理是利用透明層+iframe,使用了css中的opacity和z-index等屬性,來到達透明和位於其它界面的上方,而後使用iframe來嵌入劫持頁面。到達了用戶操做的不是它看到的,不是他覺得的那個界面,而是那個透明的位於上層的界面。css
2. 防護方法前端
有重要會話的交互頁面不容許使用iframe嵌入,或者值容許被同域的iframe嵌入。web
2.1 X-Frame-Options安全
在web server端給Http響應頭中加入一個X-Frame-Options頭,取值有 "DENY" 和 "SAMEORIGIN",分別表示不能使用iframe和只能使用同域的iframe。web安全
2.2 Frame Busting腳本防護spa
if(top.location != self.location){ top.location = self.location; }
禁止iframe的嵌套。.net
3. 有價值的參考連接code
http://blog.csdn.net/hfahe/article/details/8138728server
http://bbs.pediy.com/showthread.php?p=1360094
http://blog.avlyun.com/2014/03/254/%E8%AD%A6%E6%83%95%E5%8F%A6%E7%B1%BBactivity%E5%8A%AB%E6%8C%81/
4. web安全的參考書籍
《XSS跨站腳本攻擊剖析與防護》
《Web前端黑客技術揭祕》
《白帽子講Web安全》
相關文章
- 1. DLL劫持原理&防護方法
- 2. xss原理、攻擊方式與防護
- 3. CSRF 攻擊原理和防護方法
- 4. 單包攻擊原理與防護
- 5. CSRF攻擊與防護原理
- 6. DDOS攻擊原理與防護
- 7. php XSS攻擊原理與防護
- 8. 158.Clickjacking點擊劫持攻擊實現和防護措施
- 9. DDoS的攻擊原理與防護方法
- 10. DDoS攻擊、CC攻擊的攻擊方式和防護方法
- 更多相關文章...
- • BASE原理與最終一致性 - NoSQL教程
- • MyBatis的工作原理 - MyBatis教程
- • Java Agent入門實戰(三)-JVM Attach原理與使用
- • ☆技術問答集錦(13)Java Instrument原理
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. DLL劫持原理&防護方法
- 2. xss原理、攻擊方式與防護
- 3. CSRF 攻擊原理和防護方法
- 4. 單包攻擊原理與防護
- 5. CSRF攻擊與防護原理
- 6. DDOS攻擊原理與防護
- 7. php XSS攻擊原理與防護
- 8. 158.Clickjacking點擊劫持攻擊實現和防護措施
- 9. DDoS的攻擊原理與防護方法
- 10. DDoS攻擊、CC攻擊的攻擊方式和防護方法