问题标签 [clickjacking]

我以这种方式创建了一个 framekiller 脚本，它只允许在选定的域中构建页面以防止点击劫持。帧杀手代码：

但是最新的浏览器遵循相同的来源政策，因此它不允许在其他网站（受信任的网站）中执行 framekiller 脚本

我的问题是“如何绕过同源策略在不同域上执行 framekiller 脚本”

谢谢你。

我目前正在研究保护网站免受点击劫持。德语 Wikipedia提供了以下最佳实践示例：

但是，我想知道，如果客户端禁用了 javascript 怎么办？然后，他将不会显示该页面。我们需要发布一个功能齐全的非 JavaScript 版本的应用程序。

有什么建议可以实现吗？

我阅读了有关配置/实施 Content-Security-Policy 标头的信息，并且遇到了两种方法：

1. 使用实现此链接中给出的过滤器的自定义过滤器
2. 使用元标记

请注意，此问题与此问题不重复，我正在寻找比此链接中给出的更好的解决方案

我看到（1）中的缺点是它通过代码驱动，而不是通过配置文件，选项（2）中的缺点是如果我说 100 个 html 文件，我需要把这个标签放在每个 HTML 中？（如果我错了，请纠正我）我正在寻找的解决方案是我可以在 web.xml 中配置并适用于所有 html 文件的解决方案。我们在 web.xml 中配置 X-Frame-Options 的方式就像在这里给出的那样，难道我们没有在 web.xml 中配置 Content-Security-Policy 的类似方式吗？

在 Clickjacking Defense Cheat Sheet OWASP 建议为所有包含 HTML 内容的响应设置 X-Frame-Options 标头，但我不确定是否有必要为仅包含此 HTML 内容的 404 Not Found 页面设置此标头（没有任何链接）：

<html><head><title>Error</title></head><body>404 - Not Found</body></html>

我正在开发一个要托管在服务器上的小部件，比如 www.exampleserver.com。

我们的客户会将此 iframe 嵌入到他的网站，例如 www.validclient.com。现在，在嵌入此小部件时，将向客户的客户发送一条短信。

现在我在考虑 Clickjacking By double framing，攻击者可以在 iframe 中嵌入我们的客户端 url。现在小部件服务器发现该请求来自有效的客户端，服务器会发送一条短信。

有效的客户代码：

攻击者代码

所以我只希望我的服务器 url 内容在客户端 iframe 上呈现，而不是在攻击者 iframe 上。对于这种安全性，我使用了：

内容安全策略：框架祖先http://www.validclient.com

和

X-Frame-Options：ALLOW-FROM http://www.validclient.com

这很神奇，它在攻击者 iframe 上阻止了我们的 URL。

但这不受 Internet Explorer 和其他一些浏览器的支持。

请告诉我任何其他防止这种攻击的方法，这些方法必须对所有浏览器都是通用的。

提前致谢。希望得到积极的答复。

我一直在尝试在我的网站上实现这一点，但一直未能找到正确的方法。我的 Apache/PHP 网站有一个/includes/包含一些基本 JavaScript 的文件夹。Qualys 报告这些易受“ClickJacking”攻击。根据 OWASP 的说明，我尝试使用X-FRAME-OPTIONS. 话虽如此，我去了该/includes/文件夹的 .htaccess 并添加了以下内容：

但是，这已经禁用了网站上的所有这些 javascript，所以我不得不恢复。有人可以帮我正确实施吗？提前致谢。

一直在阅读有关 Android Tapjacking及其预防的信息，但想知道它是否足以在应用程序主题中设置此属性？或者我们是否还需要在我们的应用程序中的所有按钮上设置这个（通过 XML 和代码创建）？

我正在尝试解决我正在处理的使用 ColdFusion 11 的网站的点击劫持漏洞。不过，我似乎在生产网站上遇到了 URL 模式的问题。现在我有：

第一部分是默认设置，但由于我不在站点中使用框架，我希望它默认拒绝其他任何内容。

我遇到的问题是我似乎无法正确获取 url 模式。在我的开发服务器上，我使用“ http://localhost/abc ”来访问我的工作版本。但是在生产站点上，URL 遵循“ https://abc.def.xyz.com ”模式。如果我使用“ABC”作为 url 模式，如上所述，它可以在开发站点上运行，但不能在生产站点上运行。所以，我显然遗漏了一些关于如何设置 url 模式的内容。我想如果我只使用 /*，我最终会锁定（拒绝）包括管理员在内的所有内容，这并不是我想要的。

我通常不必处理服务器设置等，但是这样做的人发生了事故并且在医院中，所以就离开了我。关于如何设置正确的 url 模式以使其正常工作的任何想法？

谢谢。

我正在运行 webinspect 应用程序来检测我的应用程序上的安全威胁。检测到的威胁之一是（跨帧脚本），我通过将（X-Frame-Options）标头添加为（SAMEORIGIN）来修复它。现在，当我重新运行 webinspect 时，它仍然检测到（跨帧脚本）并报告以下消息：

在框架内加载此页面时未观察到有效的框架破坏技术

我使用了很多块破坏代码，但同样的问题仍然存在。我尝试了以下块杀手：

第一次尝试：

第二次尝试：

第三次尝试：

问题：如果已经通过我们的单点登录提供商进行了身份验证，则用户不得查看登录页面。

解决方案：iframe 和 javascript 会显示加载 gif，直到 iframe 从单点登录提供程序返回响应之后。如果 SSO 提供者的响应是用户当前已登录，则 Django 对用户服务器端进行身份验证，然后 javascript 将用户重定向到 Web 应用程序。如果 SSO 提供程序的响应是用户未登录，则 javascript 将加载 gif 替换为登录表单。

使用 Django==1.9.9，Python 2：

我们的get调用用 装饰@xframe_options_sameorigin，但最近开始有时会返回此错误：

这个错误来自哪里？@xframe_options_sameoriginDjango 1.9有变化吗？有时我们的 get 函数怎么可能是 NoneType 呢？