问题标签 [clickjacking]

我在我的 tomcat web.xml 中添加了以下代码片段以防止点击劫持。

在添加内置过滤器的部分中，我添加了

对于我添加的过滤器映射部分。

编辑并进行这两项更改后，测试页面（我试图在其中打开目标页面的 html 页面<frame>）通过（无法在框架内打开目标页面）。
但是 apache 欢迎页面提供了 404 的新更改。

如果我遗漏了什么，请告诉我。

我正在努力加强我们的应用程序以应对跨框架脚本/点击劫持攻击。我们的应用程序托管在 iframe 内的多个不同父站点下。这些父站点中的每一个都共享相同的高级域名（例如 *.foo.com）。我希望能够确保父框架站点始终与我们的应用程序域相同。例如：

父网站：apple.foo.com、pear.foo.com、banana.foo.com 我们的网站：mysite.foo.com

我知道我可以通过 Javascript 做这样的事情，但出于可移植性的原因，我不希望将我们的域名嵌入代码中。

所以我的问题是我可以使用正则表达式来比较域名top.location和self.location值吗？通过这种方式，我将能够确保它始终只是来自构建我们应用程序的同一高级域的父站点。寻找一些关于正则表达式编码的帮助。这种方法合理吗？

在我总是在 Web.config 的 CustomHeaders 下添加 name="X-Frame-Options" value="DENY" 或 "SAMEORIGIN" 之前，但这已经消失了。知道怎么做这个asp5 mvc6吗？

我正在尝试处理 Java Web 应用程序的点击劫持。我从Clickjacking Defense Cheat Sheet中得到了解决方案

我添加了一个过滤器web.xml

我的过滤器类看起来像

现在我面临的问题是，这个解决方案只有在我每次都在新会话中打开网页时才有效。

如果我尝试在同一会话中构建应用程序，则解决方案将失败。

我需要在我的应用程序中添加 X-Frame-Options 以防止 Clickjacking。但是我找不到任何可以在 5.5.33 版本的 tomcat 中添加它的来源。是否有可能的解决方案或解决方法？

我添加了以下元标记以避免在我的网站中进行点击劫持。

但它会抛出“拒绝应用内联样式，因为它违反了以下内容安全策略指令：“default-src 'self'”。要么是 'unsafe-inline' 关键字，要么是哈希（'sha256-CwE3Bg0VYQOIdNAkbB/Btdkhul49qZuwgNCMPgNY5zw='）， “

我一直试图打破这个几个小时，但没有成功......我现在非常绝望:(

我正在为一家公司做渗透测试，我需要绕过这个框架杀手 JS：

'

谢谢你。

iframe 有问题（无法控制，因为这些是我拥有的系统附带的）和跨站点的东西。

已将通常添加X-Frame-Options到我的.htaccess文件中以包含指令，以允许它允许来自想要 iframe 站点的其他系统的 iframe。一开始没问题。

<IfModule mod_headers.c>
标头始终设置 X-Frame-Options "ALLOW-FROM https://otherhost "
</IfModule>

而且我可以确认上述内容正在生效，因为我弄乱了标题内容并得到了反映。

出于某种原因，我一直看到X-Frame-Options ALLOW-FROM https://otherhost, SAMEORIGIN带有这个附加的标头SAMEORIGIN，这当然是无效的并且在浏览器中失败，最终导致浏览器回退到DENY，这意味着 iframe 没有显示。

apache2 规范说明了该set选项，即；

设置响应标头，用此名称替换任何先前的标头。该值可以是格式字符串。

但是我没有看到它替换了字符串。如果我curl登录页面，它会正确显示，如果我在 chrome/safari 检查器中检查它，它会显示附加信息, SAMEORIGIN，然后抱怨它无效。

我什至尝试使用该指令的unset选项Header，但它仍然会继续生成此标头。

Header指令是发布还是预输出？因为这让我发疯，并为一件简单的事情浪费了很多时间。

在我安装了所有需要的依赖项后，我尝试运行

但是出现了这个错误信息：

目前，我不知道如何进行。有没有人可以帮忙，不胜感激。

我在我的网站页面上设置 x-frame-options 但由于一些嵌套逻辑，在某些页面上我看到重复的值，例如：

代替：

是否可以将重复的值分配给 X-FRAME-OPTIONS，它会选择分配的第一个值并忽略其余的值吗？

谢谢你。