问题标签 [clickjacking]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
same-origin-policy - IE7 X-Frame-Options 的替代方案
我一直在尝试通过添加各种功能来使我的应用程序更加安全,其中之一是防止点击劫持。我已成功将 X-frame-options 添加到响应标头中,但经过更多研究后,我注意到此选项在 IE7 中不可用。因此,我可以为 IE7 做些什么呢?
spring-security - 允许网页在 HTML 框架内呈现
我有两个 Web 应用程序:Web 应用程序 (web-app) 和报表 Web。我想在<iframe>. 所以它被浏览器拒绝并出现错误:
X-Frame-选项:拒绝
有什么帮助吗?
javascript - 错误响应上的 X-Frame-Options 标头
我发现了一个与 X-Frame-Options 标头相关的有趣错误报告。但我不明白这怎么可能是安全问题。
以下代码作为漏洞证明:
但它试图访问一个无效的 URL ( https://play.google.com/aaaaaaaaa.. ) 并返回一个错误页面。在响应中,缺少 x-frame-options 标头。我不明白这怎么可能是一个安全漏洞(因为它是一个无效页面并且它是一个错误响应)?这如何用于点击劫持?为什么错误响应也应该设置此标头很重要?
javascript - 使用 X-Frame-Options 防止 Click jacking
我试图阻止不使用任何 iframe 的应用程序的点击劫持。在阅读时,我了解到 X-Frame-Options 应设置为拒绝。但是,我不知道该怎么做?
是否应该创建过滤器?还是在 javscript 中完成?] 这个应用程序有几个控制器?控制器是否必须将标头添加到响应中?
javascript - 反点击劫持代码导致页面不断刷新
我有一个 Wordpress 网站,并且我有以下旨在防止点击劫持的代码:
但是,此代码导致我的一个管理页面不断刷新。该页面位于我正在构建的主题的自定义部分中。这是因为预览显示在 iframe 中。
我可以做些什么来防止旧版浏览器上的点击劫持,同时还要解决不断重新加载页面的问题?理想情况下,我将能够以某种方式修改此 javascript。
java - 如何防止 java 应用程序中的帧注入(点击劫持)?
我们如何防止 Java 应用程序中的帧注入?
就像在渗透测试中一样,发现如果黑客起草了一个演示 html 页面,并且在该页面中他使用了 iframe,其中包含工作应用程序的 URL,他/她可以通过该 URL/请求看到数据(在 iframe 中创建)。
假设这是黑客文件 test.html:
现在黑客能够在应用程序中检索数据。如何阻止这种情况?
php - 如何为不同的页面设置不同的 x-frame-options
我在我的 .htaccess 中添加了一个 X-FRAME-OPTION 标头,以防止点击顶起问题。
现在,我需要允许通过 iframe 从外部域访问某个路由。我正在使用 PHP,并尝试通过以下方式覆盖 X-frame-option 标头:
但是,似乎 X-frame-option 没有被覆盖,而是根据以下浏览器错误 (Chrome) 重新附加:
您如何覆盖某些页面的 x-frame-options?
html - 元标记中的 X-Frames-Options
我创建了一个测试应用程序,我在其中研究了针对 Clickjacking 和其他 UI 修复攻击的不同防御技术。最常用的技术之一是 Frame-Busting 代码中的 X-Frames-Options。我不明白的是为什么不推荐以下内容的原因,并且根据 OWASP:(https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet)不起作用(即使它在我的测试中有效应用程序,如果包含以下内容,我无法构建页面)
任何解释或答案链接将不胜感激。
显然这是因为在子帧中已经呈现信息之前可能不会接收到 META 标签。这在 Chrome 和 Firefox 等浏览器中仍然有效,但被 IE 忽略。
java - 为什么 ESAPI ClickjackFilter 必须在 SiteMesh 过滤器之后?
我们有一个使用 OpenSymphony SiteMesh 组装页面的应用程序,并且我们添加了 OWASP ESAPI ClickjackFilter 以将 X-FRAME-OPTIONS 标头添加到响应中。
但是,它仅在 ClickjackFilter 映射出现在 web.xml 中的 SiteMeshFilter 映射之后才有效。如果点击劫持过滤器先出现,则不会添加 X-FRAME-OPTIONS 标头。
这有效:
这不起作用:
为什么这两个过滤器的顺序很重要?
python - 如何删除 django 中的 Xframe Options 标头?
我制作了一个页面,其中包含iframe. 在里面iframe我想显示多个不同的链接,比如来自 facebook 的文章、新闻、youtube 视频或任何其他可能的 URL。但是,由于 Xframe 标头,我无法这样做。我参考了以下链接:
https://docs.djangoproject.com/en/1.8/ref/clickjacking/
和
Django XFrameOptionsMiddleware (X-Frame-Options) - 通过客户端 IP 允许 iframe
但没有得到任何帮助。
我的 settings.py 文件MIDDLEWARE_CLASSES是:
从http://django-secure.readthedocs.org/en/latest/middleware.html,我发现使用装饰器@frame_deny_exempt可以解决我的问题。不过,我在 chrome 控制台中遇到了同样的错误,即
Refused to display '<URL>' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN, SAMEORIGIN'.
有什么帮助吗?