《白帽子讲web安全》学习笔记 (3)
点击劫持(ClickJacking)
点击劫持是一种视觉上的欺骗手段。攻击都使用一个透明的,不可见的iframe覆盖网站 上,然后诱使用户进行操作。
可以是iframe, flash,图片等常用的元素。
拖拽劫持与数据窃取(以前没有听说过)
目前很多的浏览器都支持Drag&Drop的API。此API是没有安全限制的。用户拖拽时,就带走了数据。
触屏劫持
智能手机的“触屏劫持”,与PC类似。
如何防御?
iframe busting
禁止iframe的被嵌套
if( top.locaiton != location){ top.location = self.location }
注:这是可以被绕过的!!!
X-Frame-Options
它一个HTTP头,可以说是为了解决clickjacking而生的。目前支持的浏览器如下:IE8+和其它大部分的浏览器。
它有三个可选的值:
- DENY:浏览器会拒绝当前页面加载任何frame页面
- SAMEORIGIN:只能加载同源的页面
- ALLOW-FROM origin:则可以定义允许的iframe.
小结
clickjacking,相对于xss与csrf来说,因为需要诱使用户与页面产生交互,因些成本会更高,所以比较少见。但是可能被用作钓鱼、欺诈和广告作弊等方向,不可不防啊!!!