问题标签 [clickjacking]

我有一个 ASP/Silverlight 应用程序。我不希望它被加载到任何 iframe 中。（避免点击劫持）我搜索了一下，发现需要将 x-frame-options 设置为 SAMEORIGIN 或 DENY 以避免任何此类活动。由于我是 Web 开发的新手，我很困惑在哪里添加此设置。

我有一个动态网站，我必须在其中防止点击劫持攻击。在搜索时获取这些类型的值的数据库中，我对点击劫持知之甚少，但究竟是什么没有得到所以请任何知道的人帮助我。

我做了一个最近通过渗透测试的应用程序。我需要将应用程序中的 X-Frame 选项设置为 SAMEORIGIN。这是为了防止点击劫持。我相信这在 App.yaml 文件中是可能的，但我不确定如何实现这样的东西。我已经扫描了文档，但仍然无法弄清楚如何拒绝，只允许。

我已经阅读了很多关于 iframe 和点击劫持的内容，但无法找到我正在寻找的信息。你能帮我解决以下问题吗？

Iframe 点击劫持如何传播？我看过很多文章提到在本地机器上编辑 html 代码，同样他们可以通过添加一个不可见的按钮来劫持用户点击。但是，这是用户本地机器上的修改逻辑。我很想知道是否可以将相同的代码推送到云端并影响每个登录或使用该门户的用户？如果是，如何？

如果我在我的网站上启用 iframe 选项，则会存在安全风险，因为我的页面可以作为 iframe 加载到其他人的网站中，并且他们可能会滥用它。如果有任何安全数据，如果最终用户不小心进入该网站，数据就会被黑客入侵。这是一个安全问题，因此始终建议不要允许 Iframe，对吗？是否存在其他安全风险。

如有其他风险请补充。

我想防止我的网站被其他人点击劫持。所以在我的 .htaccess 文件中，我放置了这段代码（它工作正常）：

我的网站现在受到保护，不会被互联网上的任何网站构建。但是，我最近开发了一个移动应用程序，它可以获取我网站上托管的 about-us 下的页面（我的网站包含 www.mywebsite/about-us/author、www.mywebsite/about-us/company）以显示相同的详细信息应用程序。所以我所做的是在我的 .htaccess 文件中添加了以下行：

除了 mywebsite/about-us/“任何页面”下的所有页面之外，我希望我的其余页面不会被 iframe

是否可以允许您域中包含表单的页面嵌入到未知域的页面中，并能够检测来自该页面上其他元素的 DOM 事件？

我试图调查的问题是恶意方嵌入了页面，然后在我们嵌入的表单顶部放置了一个清晰的表单（所谓的点击劫持）。

问题是该表单旨在嵌入第三方网站，因此无法通过使用 X-Frame-Option 标头进行限制。即使我们要求用户注册他们的域，恶意用户也可能只是注册他们的域！

所以我正在寻找一种方法来检测是否阻止了诸如 keydown 之类的 DOM 事件传播到我的表单组件，但是由于清晰的表单覆盖将是同级元素并且超出 iframe 的范围，我担心没有这样做的方式。

我理解框架破坏的概念（但我们的嵌入意味着在框架中）和限制对某些域的访问的概念（但如上所述，这无济于事），但想知道是否有人有允许嵌入的经验表格的数量以及嵌入后如何保护表格。

我正在尝试在 Tomcat 中启用 HttpHeaderSecurityFilter 过滤器以对抗点击劫持攻击。我希望将其应用于所有应用程序，因此在 Tomcat 自己的 conf/web.xml 文件中取消注释此过滤器的默认 <filter> 和 <filter-mapping> 条目。

尽管据我所知，Tomcat似乎完全忽略了这一点。我将 META-INF/context.xml 文件添加到我的一个 Web 应用程序中，如下所示，以便在将 conf/web.xml 文件与应用程序自己的文件合并后查看 Tomcat 用于该应用程序的有效 web.xml 文件。

catalina.log 中的结果输出看起来有效（两个文件的内容合并），但 conf/web.xml 中的过滤器条目丢失。我尝试在那里引入我自己的附加过滤器条目，发现这些条目也没有出现在有效的 web.xml 中。

如果我将 HttpHeaderSecurityFilter 过滤器和过滤器映射条目复制到 Web 应用程序自己的 web.xml 文件中，它可以正常工作（但这显然不是我想要的！）

是否有一些技巧可以让 Tomcat 尊重 conf/web.xml 中的过滤器条目？

我最终需要它在 Tomcat 7 和 8 中工作。（我知道内置过滤器仅在 Tomcat 7.0.63 中添加。）

是否有任何选项可以检测我的页面是否是从点击劫持页面加载的？

我的意思是，如果页面是点击劫持的来源（我已经设置了 X-FRAME-OPTIONS 标题）并不重要，问题是用户是否从点击劫持页面浏览到我的页面。

我找到的第一个解决方案是控制 HTTP-REFERER，但这是一项艰苦的工作，因为我无法控制所有流量。

对不起我的英语不好。

We are developing a restful API that fulfills some various events. We have done a Nessus vulnerability scan to see security leaks. It turned out that we have some leaks leads to clickjacking and we have found the solution. I have added x-frame-options as SAMEORIGINin order to handle problems.

My question here is that, since I am an API, do I need to handle clickjacking? I guess 3rd party user should be able to reach my API over an iframe and I don't need to handle this.

Do I miss something? Could you please share your ideas?

这X-Frame-Options: DENY是网站防止他人将自己嵌入到iframe.

然而，除了仅仅扼杀网络之外，X-Frame-Options在其他情况下它显然是相当无用的。

如果我是在我网站的 iframe 中嵌入不受信任的来源的人怎么办？而且我将这种不受信任的来源放在一个iframe中，这样的 iframe 会直接损害我自己的视觉元素吗？

下面是我所说的一个简化示例：

我一切都好吗，或者http://example.com/untrusted的运营商可以在我的页面上形成一个成功的攻击向量？有什么要找的吗？