問題タブ [clickjacking]

クリックジャッキング Web サイトをあなたの Web サイトにリダイレクトさせることは許容できる解決策ですか? (つまり、フレームから抜けると、Web サイトが表示されます)。しかし、その Web サイトに 2 秒ですぐにアクセスすると、元の Web サイトでハッカーがクリックジャックすることを望んでいた Web サイトに移動します。そのため、iframe が表示されず、ここをクリックすると iPad の Web ページが表示されます。どちらが優れていますか (より安全) iframe を無効にして Web サイトにリダイレクトするか、無料の iPad ページにとどまって iframe に Web サイトを表示しないか?

Web サイトにクリックジャッキング保護を追加する必要があります。これは、新しいブラウザーの X-Frame オプションを設定することで、IIS で実行できることを知っています。古いブラウザの場合、フレームバスターを追加する必要があることはわかっています-これはJavaScriptなどです.

これが私の主な質問です。古いブラウザのフレームバスター用に JavaScript を追加する必要がある場合、Web サイトのすべての HTML ページに追加する必要がありますか? 私のウェブサイトには、さまざまな html ページなどがたくさんあります。良い意見が必要です。

別のドメインで次のような単純なページを使用して、クリックジャッキングの軽減をテストしています。

私のログインページは、次のヘッダーを送信します。

IE 10 と Chrome 33 の両方がリダイレクトに従い、ランディング ページを .xml 内に表示することに驚いています<iframe>。私のランディング ページは を送信しませんが、ログイン ページの最初のページがリダイレクトに勝るX-Frame-Optionsと予想していました。X-Frame-Optionsログイン ページがフレーム内に表示されているときに、ブラウザーがリダイレクトをたどらないようにするにはどうすればよいですか?

<iframe>ログインページがHTTPリダイレクトを送信しない場合、期待どおりに機能する（空/ブロックされる）ことを追加する必要があります。

私たちのコードには、以前の開発者がフレーム バスティング (クリックジャッキングを止めるため) の予防措置を講じようとしたという問題があります。とにかく、彼らは次のコードをすべてのページの上部に配置しました。要素.aspx内ではなく、その上に配置しました。head

theBodybody タグがまだロードされていないため、上記が未定義であるため、問題が発生していることは明らかにセキュリティにとって重要です。したがって、コードの中断を止めるためにjs、上記のスクリプトを切り取ってページの下部に貼り付けます。これは一種の修正です。このアプローチは、そもそもコードを使用する実際の理由を無効にするのではないかと考えただけです。誰か私にこれについてアドバイスをくれませんか？

アプリケーションのデプロイに jBoss 5.1 を使用しています。テスト中にクリックジャッキングの問題が発生します。多くのサイトやブログを検索しても、答えが見つかりません。サイトの 1 つで、サイトが iframe 内に表示されない場合、クリックジャッキングが無効になっていることがわかりまし
た
。クリックジャッキングを避けるために、X-frame-options を使用してこれを無効にする方法を教えてください。

ありがとう。

ClickJacking 攻撃を回避するために、Spring-Security 3.1 で x-frame-options 応答ヘッダーを構成しようとしています。XML構成ファイルを介して実行できることがわかりましたが、Spring Securit 3.2にのみ適用されるようです。私が使用しているバージョンでそれを行う別の方法はありますか?

クリックジャッキングを制御するために Django XFrameOptionsMiddleware を使用していますが、ネットワーク内から iframe でアプリを参照できるようにする必要がある顧客がいます。ビュー メソッド内から xframe_options_exempt デコレータを適用 (または削除) できるようにしたいと考えています。