问题标签 [clickjacking]

假设我的 Web 应用程序使用 CSRF 令牌免受 CSRF 攻击，此外，它使用 SSL 并受到 XSS 攻击的保护。此外，出于这个问题的目的，假设它仅用于最近的浏览器并且它们没有错误。我可以使用 X-Frame-Options:Deny 标头来防止基于帧的点击劫持，但我看不出它会提供什么额外的保护，因为任何基于帧的表单提交都将缺少 CSRF 令牌。（并且同源策略可以防止 CSRF 令牌被攻击者的 JavaScript 发现。）问题：

1. 是否存在其他不基于帧的点击劫持？（即，是 X-Frame-Options:Deny 不是完整的点击劫持防御吗？）

2. 在没有 X-Frame-Options:Deny 标头的情况下，考虑到上述假设，点击劫持攻击是否仍有可能成功？

（我问这个不是因为我想防止基于帧的点击劫持，因为我确实包含了 X-Frame-Options:Deny 标头。相反，我试图了解点击劫持攻击的范围。）

我正在尝试允许某些特定域通过 iframe 访问我的网站

我知道这可以通过将上面的行添加到 Apache 服务器的配置来完成。

这里有两个问题。

1）应该添加哪个配置文件？在 Unix 和 windows 上运行的 apache，如果不是同一个文件

2) 在启用 all-from 的同时，我仍然希望能够从我自己的域中运行一些 iframe。我可以在允许后添加以下行吗？

或者我应该在全源中添加我自己的域，即

真的需要解决这个问题。提前致谢

Clickjacking is when people trick users into clicking a button they're not supposed to, making them perform a malicious action.

I'm working on a product which, as an option for merchants, provides an iFrame component that can be embedded into a website to make a payment. Signed in users will see a button in the iframe that they can click to perform an important action. This action should only be called when the click is genuinely theirs.

If, for example, the iFrame's opacity is set to 0, then it can be positioned such that the button in our iFrame is invisible, but on top of a different visible button. Users can therefore be tricked into clicking it.

I think I have a method for preventing it, but I'm not sure if it's sufficient or not. The following code would go in the iFrame:

Basically, if the iframe is obscured in any way, the iframe content will be hidden, preventing any unintended clicks.

I'm just trying to find out if there's a way around the code provided here.

如何举报使用带有社交插件的 Click-Jacking 来增加喜欢的网站？

我没有找到我报告此操作的页面，“报告”页面（https://www.facebook.com/help/263149623790594/）选项似乎与插件无关。

在我的应用程序 ( http://www.example.com ) 中，我正在运行 iFrame ( https://www.example.com/iframe-application )。

主页 (www.example.com) 仅根据 iFrame 设置的 cookie 呈现自定义数据。iFrame 具有所有智能、Javascript、安全 cookie 等。iFrame 没有文本、图像等，只有 javascript 代码。

是否存在有人将 iFrame 嵌入另一个站点并访问安全 cookie、登录令牌等的风险？

点击劫持是指人们诱骗用户点击他们不应该点击的按钮，从而使他们执行恶意操作。

我正在开发一种产品，作为商家的一种选择，它提供了一个 iFrame 组件，可以嵌入到网站中进行支付。已登录的用户将在 iframe 中看到一个按钮，他们可以单击该按钮来执行重要操作。仅当点击真正属于他们时才应调用此操作。

我使用此代码来防止点击劫持：

有人可以闯入我的代码吗？

注意：我不想使用 x-frame-option

谢谢

为了防止您的网站发生点击劫持，我注意到了几种不同的方法。有些人使用 javascript 让您的网站脱离 iframe，另一种解决方案是将 X-FRAME-OPTIONS 标头设置为 DENY 或 SAMEORIGIN。您认为我提到的两种方法中的哪一种更安全？这是我用来测试点击劫持的示例页面。

使用 iframe 中断代码，您将看到 Firefox 和 Safari 退出 iframe 的速度很慢，这意味着您将看到 Clickjacking 测试，然后它将突破该 iframe 并显示原始网站。使用 IE 和 Chrome 速度快到不明显。但是使用 X-Frame-Options 解决方案，您根本看不到您的网站。它将被阻止。就像上面例子中的谷歌一样。所以我的问题是哪个解决方案更好？完全阻止它或脱离 iframe（在 2 个浏览器中速度很慢）

我需要为我的 Web 应用程序添加一个基于 javascript 的 framebuster，以帮助防止不支持 X-FRAME-OPTIONS 的旧版浏览器的点击劫持（或跨帧脚本）攻击。

在网上搜索后，我发现目前似乎有两种方法，如下所示。作为一个完整的 javascript 新手，我更喜欢方法 1 的简单性。

我的问题是- 这两种方法目前仍然有效还是其中任何一种已经“失败”？

编辑：将我的问题更改为询问这两种方法，而不仅仅是方法 1。

方法 1（来自http://en.wikipedia.org/wiki/Framekiller#Modern_framekiller）：

方法 2（来自https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet#Best-for-now_Legacy_Browser_Frame_Breaking_Script）：

非常感谢。

我有一个 MVC 4 站点，我想阻止用户在 iframe 中显示我的站点。我知道我必须在我的回复中添加X-FRAME-OPTIONS带有值的 XFO 标头，DENY但我想问一下是否有一个地方可以放这个，以便我的所有回复都发送这个。

该应用程序在允许加载到 iframe 时出现问题。我已经阅读了很多关于它的内容（以及点击劫持）。由于需要将页面加载到具有相同来源的 iframe 中，因此我采用了以下解决方案：

将以下内容添加到 global.asax 文件中

但是，我知道并非所有浏览器都支持此标头。所以，我想添加一些额外的 javascript 解决方案。由于我不是 javascript 专家，因此我找到了以下解决方案：

我知道如果一个人非常想要它，它可能会被阻止，但是，这会带来一些额外的安全性。

我的问题是 - 1）我不理解这个 javascript 代码的逻辑（你能给出一些关于 hte 逻辑的评论吗） 2）如果这在 SAMEORIGIN 中有效（允许 iframe 在同一页面中加载，但不能在其他页面上加载）页）？

编辑：

我发现了另一种对我来说似乎很清楚的方法，但是，我不确定这是否比上面更安全：