每日 30 秒 ⏱ 小姐姐的誘惑

簡介

hijack、點擊劫持、安全、注入攻擊、CSRF

老闆今天有 劉備 嘛？這是某個業內黑話，小二來給你解釋解釋：劉備一直稱本身是中山靖王的後代，在曹操把劉備帶到朝廷後，漢獻帝爲了拉攏他，才認他爲皇叔，確認了他的身份，簡稱劉皇(黃)叔(書)。

很多成年雄性 🐒 經常會漫遊在黃色叢林中採摘果實，食用完畢後每每會發現 QQ 空間被自動發送了狀態等靈異事件，嚇得趕忙羣發 帳號被盜了，你們不要相信 證實本身真身，其實在除了黃色叢林不少網址都暗藏着很多「危險」。

iframe

在平常使用網站的時候常常會記錄登陸狀態，方便下次使用不須要輸入密碼，若是能夠用某些方法模擬用戶本身打開了網頁，是否是也能夠在用戶不知情的狀況下進行關注和發文等操做。一個老舊的 html 標籤 iframe 便擁有這個功能，例如嵌入百度貼吧頁面：

<iframe src="http://tieba.baidu.com" style="width: 100%;height:100vh"></iframe>
複製代碼

勾搭小姐姐

若是你在本地登陸過貼吧，這個時候你便會看到頁面裏的 iframe 打開了百度貼吧的頁面而且你還登陸了，若是這個時候在頁面上進行點擊關注等操做也會成功。你可能會說我又不笨怎麼可能會本身去點擊呢？

那若是這個時候 iframe 被設置成透明你還看得出來嘛？再加個誘導你的按鈕 勾搭小姐姐 重疊在貼吧點擊關注，你這個時候點擊了 勾搭小姐姐 是否是就會關注了某個貼吧用戶了。這種攻擊方法叫作 點擊劫持 是否是很形象，利用透明 iframe 劫持了你的點擊操做。

兇狠小姐姐

這裏只是簡單介紹了一下 點擊劫持 的概念，若是去調用一些危險操做的頁面（轉帳，付款，重置密碼，註銷帳號），在開通小額免密支付的狀況下，也許會在徹底不知情的狀況帶來不少損失（腎重操做）。

它還能配合一些其餘攻擊完成更復雜的操做，好比以前 你們一塊兒被捕吧 提到的 JavaScript 注入攻擊 也能夠配合 點擊劫持 和 複製黏貼，來誘導你進行文本輸入並提交文本到被攻擊站點。甚至能夠利用 iframe 來作到繞過 CSRF 進行對站點進行攻擊，這些安全相關的知識感興趣你們能夠本身查閱。

再見小姐姐

X-FRAME-OPTIONS

X-FRAME-OPTIONS 是微軟提出的一個http頭，專門用來防護利用iframe嵌套的點擊劫持攻擊。它有三個可選值：

值	解釋
DENY	拒絕任何域加載
SAMEORIGIN	容許同源域下加載
ALLOW-FROM	能夠定義容許frame加載的頁面地址

關注小二的同窗知道小二很喜歡泡在掘金，爲何此次舉例是貼吧而不是 掘金 呢？由於掘金利用了 X-FRAME-OPTIONS 來防止本身被非同源網站 iframe 引入，不信你能夠試試看。相信你也會獲得和我同樣的頁面提示：

增長操做難度

既然 點擊劫持 是利用了用戶無心識的點擊操做，能夠增長用戶的操做難度來讓劫持變難。例如在高危險操做使用驗證碼，在面對存在驗證碼的頁面時，用戶看不到這個透明頁面，確定是不會輸入驗證碼的，能夠防止點擊劫持形成危害。

腳本防禦

可使用 JavaScript 代碼防止被 iframe 嵌套，這種方法叫作 frame busting。例如判斷上級 location 是否是與本身同樣：

if ( top.location != location ) {
    top.location = self.location;
}
複製代碼

不過這種方法很容易被繞過，好比使用 iframe 的 sandbox 的屬性能夠阻止被攻擊網站執行腳本，或者多層嵌套的 iframe。

改變本身

固然不是每一個網站都會像 掘金 這樣幫助咱們防止 點擊劫持，咱們也能夠改變本身來解決這個問題。最簡單的方式告別小姐姐，從源頭上解決被惡意的人盯上。

固然你若是離不開小姐姐能夠給瀏覽器裝上插件，例如谷歌瀏覽器的 No-Script Suite Lite，能夠添加你信任的網址到白名單之中，其餘網址將被禁止腳本等操做。

一塊兒成長

在困惑的城市裏總少不了並肩同行的 夥伴 讓咱們一塊兒成長。

• 若是您想讓更多人看到文章能夠點個 點贊。
• 若是您想激勵小二能夠到 Github 給個 小星星。
• 若是您想與小二更多交流添加微信 m353839115。

本文原稿來自 PushMeTop