問題タブ [clickjacking]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
apache - Apache の X-Frame-Options
特定のドメインが iframe 経由で自分のサイトにアクセスできるようにしようとしています
上記の行をApacheサーバーの構成に追加することでこれを実行できることを私は知っています。
ここで 2 つの質問があります。
1) どの構成ファイルに追加する必要がありますか? 同じファイルではない場合、Unix と Windows の両方で実行されている apache
2) all-from を有効にしながら、自分のドメインから iframe を実行できるようにしたい。allow-from の後に次の行を追加することはできますか?
または、all-from に独自のドメインを追加する必要があります。つまり、
本当にこれを解決する必要があります。前もって感謝します
javascript - これはクリックジャッキングを防止するのに十分な方法ですか?
クリックジャッキングとは、ユーザーをだましてクリックしてはならないボタンをクリックさせ、悪意のあるアクションを実行させることです。
私は、マーチャント向けのオプションとして、ウェブサイトに埋め込んで支払いを行うことができる iFrame コンポーネントを提供する製品に取り組んでいます。サインインしたユーザーには、重要なアクションを実行するためにクリックできるボタンが iframe に表示されます。このアクションは、クリックが本当に自分のものである場合にのみ呼び出す必要があります。
たとえば、iFrame の不透明度が 0 に設定されている場合、iFrame のボタンが非表示になるように配置できますが、別の表示ボタンの上に配置できます。したがって、ユーザーはだまされてクリックする可能性があります。
それを防ぐ方法はあると思いますが、それで十分かどうかはわかりません。次のコードは iFrame に入ります。
基本的に、iframe が何らかの方法で隠されている場合、iframe のコンテンツは非表示になり、意図しないクリックが防止されます。
ここで提供されているコードを回避する方法があるかどうかを調べようとしています。
facebook - Facebook ソーシャル プラグインでのクリックジャッキングの悪用を報告する方法
ソーシャル プラグインでクリックジャッキングを使用して「いいね!」を増やしている Web サイトを報告するにはどうすればよいですか?
このアクションを報告するページが見つかりませんでした。プラグインに関連する「レポート」ページ ( https://www.facebook.com/help/263149623790594/ ) オプションが表示されませんでした。
javascript - ハッカーによる埋め込みによる iFrame のセキュリティ リスク
私のアプリ ( http://www.example.com ) 内で iFrame ( https://www.example.com/iframe-application ) を実行しています。
メイン ページ (www.example.com) は、iFrame によって設定された Cookie に基づいてカスタム データのみをレンダリングします。iFrame には、すべてのスマート機能、Javascript、安全な Cookie などがあります。iFrame には、テキストや画像などはありません。JavaScript コードのみです。
誰かが iFrame を別のサイトに埋め込んで、安全な Cookie やログイン トークンなどにアクセスするリスクはありますか?
javascript - JavaScriptによるクリックジャッキング攻撃の防止
クリックジャッキングとは、ユーザーをだましてクリックしてはならないボタンをクリックさせ、悪意のあるアクションを実行させることです。
私は、マーチャント向けのオプションとして、ウェブサイトに埋め込んで支払いを行うことができる iFrame コンポーネントを提供する製品に取り組んでいます。サインインしたユーザーには、重要なアクションを実行するためにクリックできるボタンが iframe に表示されます。このアクションは、クリックが本当に自分のものである場合にのみ呼び出す必要があります。
私はこのコードを使用してクリックジャッキングを防ぎます:
誰かが私のコードに侵入できますか?
注: x-frame-option は使いたくない
ありがとう
javascript - クリックジャッキングを止めるには、どちらがより安全ですか? iframe と X-Frame-Options から抜け出して拒否または同じオリジンにする
Web サイトでクリックジャッキングが発生するのを防ぐために、いくつかの方法があることに気付きました。JavaScript を使用してウェブサイトを iframe から抜け出させる方法もあれば、X-FRAME-OPTIONS ヘッダーを DENY または SAMEORIGIN に設定する方法もあります。私が言及した2つの方法のうち、どちらがより安全だと思いますか? これは、クリックジャッキングのテストに使用しているサンプル ページです。
iframe ブレーク コードを使用すると、Firefox と Safari が iframe から抜け出すのが遅くなることがわかります。つまり、クリックジャッキング テストが表示され、その iframe から抜け出して元の Web サイトが表示されます。IE と Chrome では、目立たないほど高速です。しかし、X-Frame-Options ソリューションを使用すると、Web サイトがまったく表示されなくなります。ブロックされます。上記の例の google のように。だから私の質問は、どちらがより良い解決策ですか? 完全にブロックするか、iframe から抜け出す (2 つのブラウザーで遅い)