問題タブ [clickjacking]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票する
2 に答える
8766 参照

javascript - クリックジャッキングを防ぐJavascript

クリックジャッキングを防ぐために、アプリケーションに次の Javascript スニペットがあります。

基本的に、デフォルトで現在のページの本文を非表示にするスタイル要素 (オンザフライの CSS) を作成します。その後、クリックジャッキングが検出されない場合は削除します。したがって、このようにすると、Javascript を持っていない人もページを見ることができます (ただし、クリックジャッキングからは保護されません)。

これは、不明なランタイム エラーの例外をスローする Internet Explorer を除くすべてのブラウザーで機能します。誰かがこれを修正する方法について提案がありますか?

ありがとう :-)

0 投票する
1 に答える
11380 参照

javascript - タフなFRAMEキラーを倒す

私はこれを数時間壊そうとしていますが、成功していません...私は今かなり必死です:(

私は会社の侵入テストを行っており、このフレーム キラー JS をバイパスする必要があります。

どうもありがとうございました!

0 投票する
1 に答える
1894 参照

javascript - Webページでクリックジャッキング攻撃を検出する方法

クリックジャッキングツールを試しました。HTMLページの非表示のフレームのみを検出できます。以下の参考文献に示されているように、クリックジャッキング攻撃について調査しました。フレームバスティング攻撃は、HTMLコードに重複するフレームが存在する場合、そのツールを検出できると思います。

ただし、特定のWebURLにクリックジャッキング攻撃が含まれる可能性があるかどうかの詳細を提供するツールが必要です。

参照:

クリックジャッキングに対するIETF標準

クリックジャッキングの基本の紹介

0 投票する
3 に答える
227224 参照

firefox - X-Frame-Options: firefox と chrome の ALLOW-FROM

X-Frame-Optionsこの記事に従って、パートナー サイトが雇用主のサイトを iframe でラップできるようにするための「パススルー」を実装しています: http://blogs.msdn.com/b/ieinternals/archive/2010/03/30 /combating-clickjacking-with-x-frame-options.aspx

(投稿する URL を分割)

簡単に言えば、パートナーのページには、ドメインに対する URL を含む iframe があります。ドメイン内のどのページにも、 のような特別な url 引数が追加され&@mykey=topleveldomain.com、ページのトップ レベル ドメインが何であるかが示されます。

当社のフィルターは、提供されている場合はパートナー TLD を URL から取得し、ホワイトリストに対して検証します。リストにある場合は、X-Frame-Optionsヘッダーに値を付けて送信しますALLOW-FROM topleveldomain.com(そして、今後のクリックのために Cookie を追加します)。SAMEORIGINホワイトリストにない場合は、またはを発送しDENYます。

ALLOW-FROM domain問題は、最新の Firefox と Google Chrome では、結果の送信が全体的にノーオペレーションのように見えることです。IE8 は、少なくとも、正しく実装しているようALLOW-FROMです。

このページをチェックしてください: http://www.enhanceie.com/test/clickjack . 「コンテンツを表示する必要がある」5 つ目 (5 つのうち) のボックスの直後は、コンテンツを表示するべきではないボックスですが、実際に表示されているボックスです。この場合、iframe 内のページは、 とX-Frame-Options: ALLOW-FROM http://www.debugtheweb.comは明らかに異なる TLDを送信していますhttp://www.enhanceie.com。それでも、フレームにはコンテンツが表示されます。

関連する(デスクトップ)ブラウザ全体X-Frame-Optionsで本当に実装されているかどうかについての洞察はありますか? ALLOW-FROMおそらく構文が変更されましたか?

興味深いリンク:

0 投票する
2 に答える
291 参照

facebook - ifram内のFacebook投稿へのURLは、「X-Frame-Optionsによって禁止されている表示」を返します

0 投票する
3 に答える
886 参照

php - この例からフレームを分割するにはどうすればよいですか?

ランダムな Web サイトが、次のコードを介して私の URL の 1 つをロードすることにしました...

チェックして抜け出すためにjavascriptフレームブレーカーを追加しようとしましたが、これでは機能しません。自分のサイトがこれを回避し、非表示ではなくフル ブラウザーで表示されるようにするにはどうすればよいですか? 彼らは貴重な帯域幅を食い尽くしています。ありがとう

これは、いつものように頭の中ですでに試したフレームブレーカーのコードです...

0 投票する
1 に答える
1546 参照

iis - iframe ブラックリストを設定する方法はありますか?

私のウェブサイトが iframe に含まれているサイトが少なくとも 1 つあることに気付きました。この種の動作を禁止する最善の方法に興味があります。

ブロックしたいサイトのリストを生成できるように、サイトが私のフレームを構成している場合に拾うことができる Javascript をいくつか含めました。ただし、iframe を禁止したくないサイトもあります。

IIS (7) を介してサイトのリストを確認し、そのリスト内のサイトからリクエストが送信された場合、何らかの形で失敗するか、リクエストをブロックすることはできますか?

ありがとう!

0 投票する
1 に答える
450 参照

google-app-engine - Google App Engine 用に webapp2 で構築しているアプリにアンチ クリックジャッキング サポートを追加するにはどうすればよいですか?

django 用の WSGI ミドルウェアがあることは知っていますが、webapp2 用のものは見つかりません。django ミドルウェアは機能しますか?