问题标签 [clickjacking]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
tomcat - 修复 web 应用程序的 antiClickJacking 漏洞
我在 Apache Tomcat 服务器上运行了两个 Web 应用程序。我们的安全团队发现了两个漏洞。
85582 - Web 应用程序可能容易受到点击劫持
我已经浏览了一些网站,因为我们必须解决这个问题。据说我们可以使用客户端或服务器端预防。我知道为了服务器端的预防,我们需要在 tomcat web.xml 文件中添加“HTTP Header sercurity Filter”。
谁能告诉我需要为此选择哪种方式以及如何选择?如果我需要添加过滤器,仅此一项就足够了,还是我需要做任何额外的事情?
对此的任何帮助将不胜感激。谢谢。
jsf - Jsf 可以防止点击劫持攻击吗?
JSF可以防止点击劫持攻击吗?如果没有,如何预防。
iframe - 在嵌套 iFrame 的情况下,x-Frame-option 如何工作?
我有一个呈现一些嵌套 iFrame 的网页。假设 abc.com 加载 def.com,然后在另一个 iFrame 中打开 ghi.com。abc.com -> def.com -> ghi.com
ghi.com 已将选项设置为仅允许某些特定站点对其进行 iFrame。ghi.com 中的设置应该是什么以允许它被渲染?我们需要将 abc.com 和 def.com 都列入白名单,还是只列入 def.com 或 abc.com?
apache - 在 Header 集中添加多个域/URL X-Frame-Options "ALLOW-FROM"
我想在 httpd 的 Header set X-Frame-Options "ALLOW-FROM " 中添加多个域/URL(例如:Header set X-Frame-Options "ALLOW-FROM http://xyz , http://abc ") .conf 文件。但我无法添加上面指定的 2 个域/URL。我的要求是仅当从 2 个不同的域访问该页面时才应显示 X-Frame 内容。所以很明显我不能给SAMEORGIN。请指定任何替代解决方案以在 X-Frame-Options 中添加 2 个域/URL。
javascript - X-Frame-Options Allow-From 在某些浏览器中不起作用
我在 Apache 配置文件中添加了 Header 始终附加 X-Frame-Options ALLOW-FROM= https://www.linkedIn.com以允许 LinkedIn iframe 使用 LinkedIn 按钮进行应用,但它在 Firefox 中不起作用。Web 服务器是 Apache,操作系统和服务器是 Ubuntu
html - 将隐藏文本框锚定在 html 中可见文本框的顶部
我正在对一个网站进行一些安全测试,并且我正在专门针对 UI 修复进行测试,该修复涉及包含在 iframe 中的底层网站,该网站顶部有一个隐藏的表单。这个想法是隐藏的文本框将覆盖网站中的真实文本框(目标是第 3 方获取此信息)。我无法将隐藏的对象与网页上实际存在的对象对齐。HTML中是否有某种锚定选项,或者我应该手动包含中断并将其对齐?
谢谢!
*编辑:下面的代码-此时的不透明度无关紧要,一旦我正确排列它们就会改变。网页本身有两个文本框,下方有一个提交按钮,我希望我的文本框(文本框 1 和文本框 2)和提交按钮与真实网页上的文本框对齐。
vaadin - 防止 Vaadin 的 Clickjacking 攻击
我想防止在 Vaadin 7 和 8 应用程序中的点击劫持攻击。由于 Vaadin 应用程序默认设计为可嵌入的,因此需要一些配置或代码来增加安全性。
这是我的第一个实验,它将X-Frame-Options 标头添加到每个响应中,以强制浏览器使用同源策略。
我想知道是否有针对 vaadin 应用程序的更好解决方案、我不知道的现有 vaadin 配置选项,或者此实现是否有缺点或限制。
我们的应用程序前面确实有 Apache,但我不知道在那里添加标头操作而不是将其放在应用程序本身(开发人员可以轻松地对其进行测试和更改)是否会很脆弱。
.htaccess - 点击劫持漏洞
我需要一些指导,因为我的 apache 网络服务器 Click Jacking 中有一个漏洞。在我读过的所有页面中,我都必须修改 htaccess,但我在我的服务器上找不到它,VirtualHost 和 httpd.conf 只包含注释而不是配置,所以我不知道这个文件在哪里,如果它可能没有,或者如果有人可以帮我解决这个问题,谢谢!
python - xframe_options_exempt 不适用于 django (Bitnami)
因此,我配置了一个网站,允许我将来自 wave 区块链的数据显示到在 AWS EC2 实例上运行的 django 站点上。
我使用 bitnami 将 django 的堆栈映像安装到服务器上。
该网页的工作方式如下所示 www.wavesico.tk/Project/get-ico/jacks-easter-eggs
Django 版本 = 1.11.6
我的 url 正确指向我的视图(因为上面的 URL 有效) urls.py:
在我的视图文件中,我包括:
和
我还在我的设置文件中包含了中间件:
但是,Chrome 仍然在框架中报告错误“拒绝显示” https://www.wavesico.tk/Project/get-ico/jacks-easter-eggs/,因为它将“X-Frame-Options”设置为“同源
我尝试将“render()”函数更改为“HttpResponse”,但仍然没有运气。
谢谢大家,杰克
java - 防止点击劫持攻击
目前,我正在从事一个 vaadin 项目,我正在努力防止对该项目的点击劫持攻击。搜索解决方案后,我发现在 web.xml 中添加以下代码段会起作用:
我在 pom.xml 中添加了以下依赖项:
我正在 payara 服务器上运行该项目。
项目运行但抛出以下错误:
引起:java.lang.ClassNotFoundException: org.glassfish.main.web.core [69] 在 org.apache.felix.framework.BundleWiringImpl.findClassOrResourceByDelegation(BundleWiringImpl.java: 1532) 在 org.apache.felix.framework.BundleWiringImpl.access$400(BundleWiringImpl.java:75) 在 org.apache.felix.framework.BundleWiringImpl$BundleClassLoader.loadClass(BundleWiringImpl.java:1955) 在 java.lang.ClassLoader。 loadClass(ClassLoader.java:357) at org.apache.catalina.core.ApplicationFilterConfig.loadFilterClass(ApplicationFilterConfig.java:283) at org.apache.catalina.core.ApplicationFilterConfig.getFilter(ApplicationFilterConfig.java:253) at org.apache .catalina.core.ApplicationFilterConfig.(ApplicationFilterConfig.java:123) ... 50 更多
这意味着我防止点击劫持攻击的解决方案将不起作用:)
任何帮助将不胜感激 :)。