問題タブ [clickjacking]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
javascript - クリックジャッキングを防ぐJavascript
クリックジャッキングを防ぐために、アプリケーションに次の Javascript スニペットがあります。
基本的に、デフォルトで現在のページの本文を非表示にするスタイル要素 (オンザフライの CSS) を作成します。その後、クリックジャッキングが検出されない場合は削除します。したがって、このようにすると、Javascript を持っていない人もページを見ることができます (ただし、クリックジャッキングからは保護されません)。
これは、不明なランタイム エラーの例外をスローする Internet Explorer を除くすべてのブラウザーで機能します。誰かがこれを修正する方法について提案がありますか?
ありがとう :-)
javascript - タフなFRAMEキラーを倒す
私はこれを数時間壊そうとしていますが、成功していません...私は今かなり必死です:(
私は会社の侵入テストを行っており、このフレーム キラー JS をバイパスする必要があります。
どうもありがとうございました!
javascript - Webページでクリックジャッキング攻撃を検出する方法
クリックジャッキングツールを試しました。HTMLページの非表示のフレームのみを検出できます。以下の参考文献に示されているように、クリックジャッキング攻撃について調査しました。フレームバスティング攻撃は、HTMLコードに重複するフレームが存在する場合、そのツールを検出できると思います。
ただし、特定のWebURLにクリックジャッキング攻撃が含まれる可能性があるかどうかの詳細を提供するツールが必要です。
参照:
firefox - X-Frame-Options: firefox と chrome の ALLOW-FROM
X-Frame-Options
この記事に従って、パートナー サイトが雇用主のサイトを iframe でラップできるようにするための「パススルー」を実装しています: http://blogs.msdn.com/b/ieinternals/archive/2010/03/30 /combating-clickjacking-with-x-frame-options.aspx
(投稿する URL を分割)
簡単に言えば、パートナーのページには、ドメインに対する URL を含む iframe があります。ドメイン内のどのページにも、 のような特別な url 引数が追加され&@mykey=topleveldomain.com
、ページのトップ レベル ドメインが何であるかが示されます。
当社のフィルターは、提供されている場合はパートナー TLD を URL から取得し、ホワイトリストに対して検証します。リストにある場合は、X-Frame-Options
ヘッダーに値を付けて送信しますALLOW-FROM topleveldomain.com
(そして、今後のクリックのために Cookie を追加します)。SAMEORIGIN
ホワイトリストにない場合は、またはを発送しDENY
ます。
ALLOW-FROM domain
問題は、最新の Firefox と Google Chrome では、結果の送信が全体的にノーオペレーションのように見えることです。IE8 は、少なくとも、正しく実装しているようALLOW-FROM
です。
このページをチェックしてください: http://www.enhanceie.com/test/clickjack . 「コンテンツを表示する必要がある」5 つ目 (5 つのうち) のボックスの直後は、コンテンツを表示するべきではないボックスですが、実際に表示されているボックスです。この場合、iframe 内のページは、 とX-Frame-Options: ALLOW-FROM http://www.debugtheweb.com
は明らかに異なる TLDを送信していますhttp://www.enhanceie.com
。それでも、フレームにはコンテンツが表示されます。
関連する(デスクトップ)ブラウザ全体X-Frame-Options
で本当に実装されているかどうかについての洞察はありますか? ALLOW-FROM
おそらく構文が変更されましたか?
興味深いリンク:
- x-frame-options のドラフト rfc: https://datatracker.ietf.org/doc/html/draft-gondrom-frame-options-01
- developer.mozilla の記事では、ヘッダーを 2 オプション ヘッダー (sameorigin または deny) として説明しています。 https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options
- すべてを開始した msdn ブログ: http://blogs.msdn.com/b/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx
- 3 つの値について説明する msdn ブログ: allow-from origin の追加http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx
php - この例からフレームを分割するにはどうすればよいですか?
ランダムな Web サイトが、次のコードを介して私の URL の 1 つをロードすることにしました...
チェックして抜け出すためにjavascriptフレームブレーカーを追加しようとしましたが、これでは機能しません。自分のサイトがこれを回避し、非表示ではなくフル ブラウザーで表示されるようにするにはどうすればよいですか? 彼らは貴重な帯域幅を食い尽くしています。ありがとう
これは、いつものように頭の中ですでに試したフレームブレーカーのコードです...
iis - iframe ブラックリストを設定する方法はありますか?
私のウェブサイトが iframe に含まれているサイトが少なくとも 1 つあることに気付きました。この種の動作を禁止する最善の方法に興味があります。
ブロックしたいサイトのリストを生成できるように、サイトが私のフレームを構成している場合に拾うことができる Javascript をいくつか含めました。ただし、iframe を禁止したくないサイトもあります。
IIS (7) を介してサイトのリストを確認し、そのリスト内のサイトからリクエストが送信された場合、何らかの形で失敗するか、リクエストをブロックすることはできますか?
ありがとう!
google-app-engine - Google App Engine 用に webapp2 で構築しているアプリにアンチ クリックジャッキング サポートを追加するにはどうすればよいですか?
django 用の WSGI ミドルウェアがあることは知っていますが、webapp2 用のものは見つかりません。django ミドルウェアは機能しますか?