问题标签 [clickjacking]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
javascript - 如何设置 html { display:none; } 对于嵌入在 iFrame 中的页面?
这是我的测试页。在此页面上有一个 iFrame,其中嵌入了我网站的另一个页面。
这是我正在使用的 JavaScript。这段代码在 admin.html
这里的目标:
当您访问 ClickJacking 测试页面时,应将 iframe 中的 html 设置为 display: none。
我不希望任何人能够看到 iframe 中的管理页面。
如您所见,我有几次注释掉的尝试。但无论我做什么,admin.html 仍然可见。
任何帮助表示赞赏!
java - 在 spring-boot 应用程序中启用 X-Frame-Options 标头(没有 spring 安全性)
安全团队测试了我们的应用程序并发现了以下警告:
HTTP 响应中不包含 X-Frame-Options 标头以防止“ClickJacking”攻击。
我们在我们的应用程序中使用 spring boot,但我们不使用 spring security。我们使用我们的自定义安全机制。
有没有办法将此标头添加到所有响应中?
grails - 为 grails 2.5 应用程序配置 Content-Security-Policy 标头
我正在研究可用于防止 grails 应用程序中的点击劫持的不同解决方案。其中一种解决方案是使用 X-Frame。所以,我找到了一个 grails 插件X-Frame-Options Plugin,作者是mrhaki。
它符合我添加响应标头的目的
X-Frame:拒绝
对每一个回应。伟大的!
我读到有一个现代解决方案 - Content-Security-Policy 标头。我无法为我的 Grails 应用程序配置它。有人可以帮忙吗?
macos - 错误:“[写入/etc/httpd/conf/httpd.conf时出错:没有这样的文件或目录]”,同时尝试编辑“httpd.conf”文件并将其保存回来
为了避免对托管在我本地托管的 apache-tomcat Web 服务器上的 Web 应用程序进行点击劫持攻击,我正在尝试编辑“httpd.conf”文件以将 X-options 附加到它。
使用“sudo nano /etc/httpd/conf/httpd.conf”打开文件 使用“Header append X-FRAME-OPTIONS “SAMEORIGIN””打开文件 控制 X 给定 Y,当它询问我是否保存时按下“返回" 用于确认指定的位置。
给我一个错误“[写入/etc/httpd/conf/httpd.conf时出错:没有这样的文件或目录]”
感谢您对此的任何帮助。
angular - 在 OAUTH 隐式流中使用隐藏 iFrame 刷新令牌时出现 ClickJacking 威胁
我们正在开发一个基于 Angular 5 的应用程序,它使用 Secure Auth ( https://www.secureauth.com/ ) 作为身份和访问控制解决方案。我们计划使用隐式流。在大多数 OAuth 客户端中,我们发现隐藏的 iFrame 用于静默刷新访问令牌。
但是默认情况下,Secure Auth IDP 不会在 iFrames 中打开,原因是它用于防止 Click Jacking... 这会阻止我们进行静默刷新。我们在 Identity Server 中没有发现这样的问题,另外大多数其他的像 Azure AD、AWS Cognito、Google 也推荐使用隐式流。
只是想知道这是否是一种威胁。任何意见表示赞赏。
apache - 无法在 azure 托管的 Apache 网络服务器上添加标头
我正在尝试在 Azure 托管的网站上启用反点击劫持。
它是一个在 Apache 服务器上运行的共享主机包。问题是我找不到正确的 conf 文件来修改并将这行代码添加到:
我们找到了一个名为 apache2.conf 的文件并添加了它,但在重新启动 apache 服务器后,该行从 conf 中删除。
有人知道我能做什么吗?
node.js - 如何防止通过 Cloudfront、EC2 和 S3 上的静态站点运行的站点上的点击劫持和缓慢发布
我在 S3 上托管一个静态反应站点,并在 EC2 实例上运行我的服务器。我的生产版本通过 Cloudfront 运行以附加 HTTPS 证书。
在第三方运行测试以搜索安全漏洞后,单击劫持,未设置 X-Frame-Options 并且慢发布漏洞是唯一剩下的问题。
我希望我的 Node/express 服务器中的以下代码应该解决 X-Frame-Options 问题以及点击劫持问题,但我不确定,因为我相信(但非常不确定)这些解决方案可能需要在 Cloudfront 中完成/AWS。
我也了解防止慢速攻击的方法之一是为端点设置超时(默认为 2 分钟)。我想知道建议的超时应该是多少(应记住上传文件的 40mb 限制,用户可以拥有各种互联网连接,但都在第一世界国家)以及在服务器中的哪个位置实现这一点?
提前感谢任何解决方案/澄清。
web.xml - 防止 jboss 5.1 中的点击劫持不适用于根 url
我需要拒绝来自我的应用程序的点击劫持威胁。它的 java 应用程序 & 部署在 jboss 5.1 服务器中。正如许多地方建议的那样,要摆脱这种情况,需要避免在 iframe 中加载应用程序。为此,我尝试将标头添加到 http 响应中。我在 web xml 中添加了过滤器并将 X-FRAME-OPTIONS 标头设置为 DENY。我将 URLPATTERN 添加为 /*。我用 iframe 创建了 html 并添加了 src url 来测试。应用程序作为服务器的根目录加载,例如:http://localhost:8080。它没有应用此根 URL 的标头。但它适用于带有任何其他修改 url 的基本 url。
前任:
- http://localhost:8080 - 不应用标头
- http://localhost:8080/login.do - 应用标头
是否有任何其他配置可以在 jboss5.1 中获取根 url 的响应标头?
这是更改
web.xml
点击JackingPreventionFilter.java
android - 如何解决 ReactNative 应用中的 TapJacking 漏洞
我知道我可以在我的视图中应用这些属性 filterTouchesWhenObscured 方法 onFilterTouchEventForSecurity 但我想应用在我的每个可点击视图上,那么我该如何应用它..?
asp.net-mvc - 添加 Xframeoptions 后未发生跨域通信:Sameorigin
我正在努力为我们的网站实施点击劫持预防。我首先添加了标题 X-Frame-Options :sameorigin。有了这个,我们的网站无法加载到任何其他网站托管的任何 iframe 中,因此 Clickjacking 部分工作正常。
现在的问题是,我们使用 iframe 加载托管支付网关形式的页面很少,该支付网关使用 iframeCommunicator Url 选项进行跨域通信。添加 X-Frame-Options 标头后,托管表单未与支付网关通信。
我在控制台中遇到以下错误:拒绝在框架中显示“ http://localhost:44352/examplesite/payment/iFrameCommunicator#action=resizeWindow&width=1106&height=152 ”,因为它将“X-Frame-Options”设置为“sameorigin” '。
上面的错误来自我在 webconfig 中设置的标题,如下所示
我尝试过的其他设置:
其中.example.net是用于获取托管表单的支付网关 URL。