摘要:近期的工作都和交易有關,寫代碼都特別謹慎,前面說過前端如何防范跨站請求偽造攻擊,這次準備簡單說說防范點擊劫持。有兩種方式可以防范。使用防范判斷頂層視口的域名是不是和本頁面的域名一致,如果不一致就讓惡意網頁自動跳轉到我方的網頁。
近期的工作都和交易有關,寫代碼都特別謹慎,前面說過前端如何防范跨站請求偽造攻擊(CSRF),這次準備簡單說說防范點擊劫持。
什么點擊劫持?最常見的是惡意網站使用 標簽把我方的一些含有重要信息類如交易的網頁嵌入進去,然后把 iframe 設置透明,用定位的手段的把一些引誘用戶在惡意網頁上點擊。這樣用戶不知不覺中就進行了某些不安全的操作。
有兩種方式可以防范。
使用 JS 防范判斷頂層視口的域名是不是和本頁面的域名一致,如果不一致就讓惡意網頁自動跳轉到我方的網頁。當然你還可以惡心一下這些惡意網站,比如說彈窗十幾次,或者跳轉到某些404頁面。
if (top.location.hostname !== self.location.hostname) { alert("您正在訪問不安全的頁面,即將跳轉到安全頁面!"); top.location.href = self.location.href; }使用 HTTP 頭防范
通過配置 nginx 發送 X-Frame-Options 響應頭,這樣瀏覽器就會阻止嵌入網頁的渲染。更詳細的可以查閱MDN上關于X-Frame-Options 響應頭的內容。
add_header X-Frame-Options SAMEORIGIN;
原文首發在我的 github 博客
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/89192.html
摘要:近期的工作都和交易有關,寫代碼都特別謹慎,前面說過前端如何防范跨站請求偽造攻擊,這次準備簡單說說防范點擊劫持。有兩種方式可以防范。使用防范判斷頂層視口的域名是不是和本頁面的域名一致,如果不一致就讓惡意網頁自動跳轉到我方的網頁。 近期的工作都和交易有關,寫代碼都特別謹慎,前面說過前端如何防范跨站請求偽造攻擊(CSRF),這次準備簡單說說防范點擊劫持。 什么點擊劫持?最常見的是惡意網站使用...
摘要:網絡黑白一書所抄襲的文章列表這本書實在是垃圾,一是因為它的互聯網上的文章拼湊而成的,二是因為拼湊水平太差,連表述都一模一樣,還抄得前言不搭后語,三是因為內容全都是大量的科普,不涉及技術也沒有干貨。 《網絡黑白》一書所抄襲的文章列表 這本書實在是垃圾,一是因為它的互聯網上的文章拼湊而成的,二是因為拼湊水平太差,連表述都一模一樣,還抄得前言不搭后語,三是因為內容全都是大量的科普,不涉及技術...
摘要:想閱讀更多優質原創文章請猛戳博客一,跨站腳本攻擊,因為縮寫和重疊,所以只能叫??缯灸_本攻擊是指通過存在安全漏洞的網站注冊用戶的瀏覽器內運行非法的標簽或進行的一種攻擊??缯灸_本攻擊有可能造成以下影響利用虛假輸入表單騙取用戶個人信息。 前言 在互聯網時代,數據安全與個人隱私受到了前所未有的挑戰,各種新奇的攻擊技術層出不窮。如何才能更好地保護我們的數據?本文主要側重于分析幾種常見的攻擊的類型...
摘要:禁止內聯腳本執行規則較嚴格,目前發現使用。典型的攻擊流程受害者登錄站點,并保留了登錄憑證。站點接收到請求后,對請求進行驗證,并確認是受害者的憑證,誤以為是無辜的受害者發送的請求。攻擊完成,攻擊者在受害者不知情的情況下,冒充受害者完成了攻擊。 隨著互聯網的發展,各種Web應用變得越來越復雜,滿足了用戶的各種需求的同時,各種網絡安全問題也接踵而至。作為前端工程師的我們也逃不開這個問題,今天一起...
摘要:禁止內聯腳本執行規則較嚴格,目前發現使用。典型的攻擊流程受害者登錄站點,并保留了登錄憑證。站點接收到請求后,對請求進行驗證,并確認是受害者的憑證,誤以為是無辜的受害者發送的請求。攻擊完成,攻擊者在受害者不知情的情況下,冒充受害者完成了攻擊。 隨著互聯網的發展,各種Web應用變得越來越復雜,滿足了用戶的各種需求的同時,各種網絡安全問題也接踵而至。作為前端工程師的我們也逃不開這個問題,今天...
閱讀 2596·2021-11-17 09:33
閱讀 3936·2021-10-19 11:46
閱讀 910·2021-10-14 09:42
閱讀 2252·2021-09-22 15:41
閱讀 4204·2021-09-22 15:20
閱讀 4628·2021-09-07 10:22
閱讀 2302·2021-09-04 16:40
閱讀 811·2019-08-30 15:52