我们了解到的一个 Web 应用程序容易受到 clickJacking 问题的影响。我们使用的是 IE8。上网后我发现我们可以安装“No Script”,但看起来它与我们使用 IE8 时的 mozilla 更相关。即使它在 IE8 中是可能的,那么还有更好的选择吗?
问问题
261 次
2 回答
1
我找到了如下答案。
打开 IIS,右键单击“网站”并选择属性。2. 选择 Http 标头选项卡。3. 单击添加 4. 将值指定为“x-frame-options”和“Deny”或 4.将值指定为“x-frame-options”和“SAMEORIGIN”。
于 2013-04-03T10:13:02.113 回答
1
正确的点击劫持防御是一个两管齐下的方法:
在服务器上,由于我们的是 Apache Web Server,因此您在 Apache Web Server 的 httpd.conf 文件 X-Frame-Options 中添加以下行:DENY
然后在我们的jsp中使用一些javascript代码:
<style id="antiClickjack">body{display:none !important;}</style>
<script type="text/javascript">
if (self === top) {
var antiClickjack = document.getElementById("antiClickjack");
antiClickjack.parentNode.removeChild(antiClickjack);
} else {
top.location = self.location;
}
</script>
我从这个链接得到了代码:OWASP Clickjacking Defense Cheat Sheet
我将它用于之前/之后,以确保问题确实得到了解决。 OWASP 如何测试点击劫持
于 2014-10-15T20:25:34.513 回答