当前位置: 首页 > news >正文

中网的官方网站媒体:多地新增感染趋势回落

中网的官方网站,媒体:多地新增感染趋势回落,wordpress 大发,门户网站规划1.点击劫持的概念 点击劫持 (Clickjacking) 技术又称为界面伪装攻击 (UI redress attack ),是一种视觉上的欺骗手段。攻击者使用一个或多个透明的 iframe 覆盖在一个正常的网页上,然后诱使用户在该网页上进行操作,当用户在不知情的情况下点击…

1.点击劫持的概念

        点击劫持 (Clickjacking) 技术又称为界面伪装攻击 (UI redress attack ),是一种视觉上的欺骗手段。攻击者使用一个或多个透明的 iframe 覆盖在一个正常的网页上,然后诱使用户在该网页上进行操作,当用户在不知情的情况下点击透明的 iframe 页面时,用户的操作已经被劫持到攻击者事先设计好的恶意按钮或链接上。攻击者既可以通过点击劫持设计一个独立的恶意网站,执行钓鱼攻击等;也可以与 XSS 和 CSRF 攻击相结合,突破传统的防御措施,提升漏洞的危害程度

2.测试案例

新建一个html,src内容为目标网站

<head></head>
...
<body><iframe id="target_website" src="http://localhost:8090/ssm_maven/student/add"></iframe>
</body>

项目地址为:

https://gitee.com/fluosetine/java-projects.git

效果如下:

可以把嵌入的页面隐藏,使用一些其他的页面覆盖在上边,进行相关的操作。

3.解决办法

在微软发布新一代的浏览器 Internet Explorer 8.0 中首次提出全新的安全机制:X-FRAME-OPTIONS。该机制有两个选项:DENY 和 SAMEORIGIN。DENY 表示任何网页都不能使用 iframe 载入该网页,SAMEORIGIN 表示符合同源策略的网页可以使用 iframe 载入该网页。如果浏览器使用了这个安全机制,在网站发现可疑行为时,会提示用户正在浏览 网页存在安全隐患,并建议用户在新窗口中打开。这样攻击者就无法通过 iframe 隐藏目标的网页。

X-Frame-Options HTTP 响应头,可以指示浏览器是否应该加载一个 iframe 中的页面。网站可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从而防止点击劫持。

X-Frame-Options 共有三个值:

DENY:任何页面都不能被嵌入到 iframe 或者 frame 中。

SAMEORIGIN:页面只能被本站页面嵌入到 iframe 或者 frame 中。

ALLOW-FROM URI:页面自能被指定的 Uri 嵌入到 iframe 或 frame 中。 

对于 java 项目,只需设置过滤器 在过滤器中指定 response.addHeader ("x-frame-options","SAMEORIGIN"); 就行了

增加过滤器,项目中相关的类AddResponseHeaderFilter

public class AddResponseHeaderFilter extends OncePerRequestFilter
{//Internet Explorer 8.0中@Overrideprotected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)throws ServletException, IOException {System.out.println("=====X-Frame-Options, SAMEORIGIN=====");String requestUrI = request.getRequestURI().toString();System.out.println(requestUrI);//response.addHeader("x-frame-options","DENY"); // 任何页面都不能被嵌入到 iframe 或者 frame 中。response.addHeader("X-Frame-Options", "SAMEORIGIN");//页面只能被本站页面嵌入到 iframe 或者 frame 中。filterChain.doFilter(request, response);}}

解决后效果如下:

http://www.yayakq.cn/news/454186/

相关文章:

  • 施工企业如何节约人力成本搜索引擎优化的基本内容
  • 网站布局优化项目管理软件应用
  • 北京市建网站phpcms做网站建栏目
  • iis 发布织梦网站html教程 pdf
  • 广东网站建设的深圳互联网营销师培训
  • 阿里云的云服务器做网站用哪种全国建设造价信息网站
  • 江门论坛建站模板中国菲律宾南海争端
  • 做淘宝优惠网站江西网站建设推广
  • 昆山网站建设 熊掌号如何用网站做淘宝联盟
  • 常州做网站基本流程软装
  • 做lgoo的网站一般有哪些万网是做网站的吗
  • 网站建设模板研究企业网站如何设计
  • 十大免费ppt网站在线网站自己做服务器划算吗
  • 网站rar文件建设有限公司首页
  • 攻击网站方法申请建设网站经费申请
  • 陕西省建设建设监理协会网站张槎网站开发
  • 做盗版网站会坐牢吗手机网站打开速度
  • 公司起名字大全免费测分1518淄博网站制作升级优化
  • 网站交换链接的网络营销意义长沙百度网站优化
  • 东莞网站开发哪里找php网站程序怎么安装
  • 旅游网官方网站青岛网站seo多少钱
  • 网站开发工程师swot分析怎样做网站后台运营
  • 马鞍山市重点工程建设管理局网站建设网站的新闻
  • 网站ipc备案浙江省交通建设工程监督管理局网站
  • 湛江的网站互联网行业公司
  • 做网站负责人有法律风险吗彩票网站招代理广告怎么做
  • 外贸公司英文网站建设建设网站龙华
  • 网站链接可以自己做吗中山中小企业网站制作
  • 沈阳有做网站的吗装修公司口碑好的公司
  • 公司部门优化营商环境心得体会