问题标签 [clickjacking]

这是我的测试页。在此页面上有一个 iFrame，其中嵌入了我网站的另一个页面。

这是我正在使用的 JavaScript。这段代码在 admin.html

这里的目标：

当您访问 ClickJacking 测试页面时，应将 iframe 中的 html 设置为 display: none。

我不希望任何人能够看到 iframe 中的管理页面。

如您所见，我有几次注释掉的尝试。但无论我做什么，admin.html 仍然可见。

任何帮助表示赞赏！

安全团队测试了我们的应用程序并发现了以下警告：

HTTP 响应中不包含 X-Frame-Options 标头以防止“ClickJacking”攻击。

我们在我们的应用程序中使用 spring boot，但我们不使用 spring security。我们使用我们的自定义安全机制。

有没有办法将此标头添加到所有响应中？

我正在研究可用于防止 grails 应用程序中的点击劫持的不同解决方案。其中一种解决方案是使用 X-Frame。所以，我找到了一个 grails 插件X-Frame-Options Plugin，作者是mrhaki。

它符合我添加响应标头的目的

X-Frame:拒绝

对每一个回应。伟大的！

我读到有一个现代解决方案 - Content-Security-Policy 标头。我无法为我的 Grails 应用程序配置它。有人可以帮忙吗？

为了避免对托管在我本地托管的 apache-tomcat Web 服务器上的 Web 应用程序进行点击劫持攻击，我正在尝试编辑“httpd.conf”文件以将 X-options 附加到它。

使用“sudo nano /etc/httpd/conf/httpd.conf”打开文件 使用“Header append X-FRAME-OPTIONS “SAMEORIGIN””打开文件 控制 X 给定 Y，当它询问我是否保存时按下“返回" 用于确认指定的位置。

给我一个错误“[写入/etc/httpd/conf/httpd.conf时出错：没有这样的文件或目录]”

感谢您对此的任何帮助。

我们正在开发一个基于 Angular 5 的应用程序，它使用 Secure Auth ( https://www.secureauth.com/ ) 作为身份和访问控制解决方案。我们计划使用隐式流。在大多数 OAuth 客户端中，我们发现隐藏的 iFrame 用于静默刷新访问令牌。

但是默认情况下，Secure Auth IDP 不会在 iFrames 中打开，原因是它用于防止 Click Jacking... 这会阻止我们进行静默刷新。我们在 Identity Server 中没有发现这样的问题，另外大多数其他的像 Azure AD、AWS Cognito、Google 也推荐使用隐式流。

只是想知道这是否是一种威胁。任何意见表示赞赏。

我正在尝试在 Azure 托管的网站上启用反点击劫持。

它是一个在 Apache 服务器上运行的共享主机包。问题是我找不到正确的 conf 文件来修改并将这行代码添加到：

我们找到了一个名为 apache2.conf 的文件并添加了它，但在重新启动 apache 服务器后，该行从 conf 中删除。

有人知道我能做什么吗？

我在 S3 上托管一个静态反应站点，并在 EC2 实例上运行我的服务器。我的生产版本通过 Cloudfront 运行以附加 HTTPS 证书。

在第三方运行测试以搜索安全漏洞后，单击劫持，未设置 X-Frame-Options 并且慢发布漏洞是唯一剩下的问题。

我希望我的 Node/express 服务器中的以下代码应该解决 X-Frame-Options 问题以及点击劫持问题，但我不确定，因为我相信（但非常不确定）这些解决方案可能需要在 Cloudfront 中完成/AWS。

我也了解防止慢速攻击的方法之一是为端点设置超时（默认为 2 分钟）。我想知道建议的超时应该是多少（应记住上传文件的 40mb 限制，用户可以拥有各种互联网连接，但都在第一世界国家）以及在服务器中的哪个位置实现这一点？

提前感谢任何解决方案/澄清。

我需要拒绝来自我的应用程序的点击劫持威胁。它的 java 应用程序 & 部署在 jboss 5.1 服务器中。正如许多地方建议的那样，要摆脱这种情况，需要避免在 iframe 中加载应用程序。为此，我尝试将标头添加到 http 响应中。我在 web xml 中添加了过滤器并将 X-FRAME-OPTIONS 标头设置为 DENY。我将 URLPATTERN 添加为 /*。我用 iframe 创建了 html 并添加了 src url 来测试。应用程序作为服务器的根目录加载，例如：http://localhost:8080。它没有应用此根 URL 的标头。但它适用于带有任何其他修改 url 的基本 url。

前任：

• http://localhost:8080 - 不应用标头
• http://localhost:8080/login.do - 应用标头

是否有任何其他配置可以在 jboss5.1 中获取根 url 的响应标头？

这是更改

web.xml

点击JackingPreventionFilter.java

我知道我可以在我的视图中应用这些属性 filterTouchesWhenObscured 方法 onFilterTouchEventForSecurity 但我想应用在我的每个可点击视图上，那么我该如何应用它..？

我正在努力为我们的网站实施点击劫持预防。我首先添加了标题 X-Frame-Options ：sameorigin。有了这个，我们的网站无法加载到任何其他网站托管的任何 iframe 中，因此 Clickjacking 部分工作正常。

现在的问题是，我们使用 iframe 加载托管支付网关形式的页面很少，该支付网关使用 iframeCommunicator Url 选项进行跨域通信。添加 X-Frame-Options 标头后，托管表单未与支付网关通信。

我在控制台中遇到以下错误：拒绝在框架中显示“ http://localhost:44352/examplesite/payment/iFrameCommunicator#action=resizeWindow&width=1106&height=152 ”，因为它将“X-Frame-Options”设置为“sameorigin” '。

上面的错误来自我在 webconfig 中设置的标题，如下所示

我尝试过的其他设置：

其中.example.net是用于获取托管表单的支付网关 URL。