問題タブ [clickjacking]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
same-origin-policy - IE7 の X-Frame-Options の代替
さまざまな機能を追加してアプリケーションをより安全にしようとしてきましたが、そのうちの 1 つはクリックジャッキングを防止することでした。X-frame-options を応答ヘッダーに正常に追加しましたが、さらに調査を行った後、このオプションは IE7 では使用できないことに気付きました。そのため、代わりに IE7 で何ができますか?
spring-security - HTML フレーム内での Web ページのレンダリングを許可する
Web アプリケーション (web-app) とレポート Web の 2 つの Web アプリケーションがあります。の web-app にレポート web を埋め込みたいです<iframe>。そのため、ブラウザによって次のエラーで拒否されました。
X フレーム オプション: 拒否
何か助けはありますか?
javascript - X-Frame-Options を使用したクリックジャッキングの防止
iframe を使用しないアプリケーションのクリックジャッキングを防止しようとしています。読んでみると、X-Frame-Options を拒否に設定する必要があることがわかりました。しかし、私はそれを行う方法がわかりませんか?
フィルタを作成する必要がありますか? それとも、ジャバスクリプトで行われますか?】 このアプリには複数のコントローラーがありますか?コントローラーは応答にヘッダーを追加する必要がありますか?
java - javaアプリケーションでフレームインジェクション(クリックジャッキング)を防ぐ方法は?
Java アプリケーションでフレーム インジェクションを防ぐにはどうすればよいですか?
侵入テストのように、ハッカーがデモ HTML ページの下書きを作成し、そのページ内で動作中のアプリケーションの URL を持つ iframe を使用した場合、ハッカーはその URL/リクエスト ( iframe で作成されます)。
これがハッカーのファイル、test.html だとします。
これで、ハッカーはアプリケーション内のデータを取得できるようになりました。これを止める方法は?
php - ページごとに異なる x-frame-options を設定する方法
クリックジャッキングの問題を防ぐために、.htaccess に X-FRAME-OPTION ヘッダーを追加しました。
外部ドメインから iframe 経由で特定のルートにアクセスできるようにする必要があります。私はPHPを使用しており、次の方法でX-frame-optionヘッダーを上書きしようとしました:
ただし、X-frame-option は上書きされていないように見えますが、次のブラウザー エラー (Chrome) に従って再追加されています。
特定のページの x-frame-options を上書きするにはどうすればよいですか?
html - メタ タグの X-Frames-Options
クリックジャッキングやその他の UI 修復攻撃に対するさまざまな防御手法を調べるテスト アプリケーションを作成しました。最もよく使用される手法の 1 つは、Frame-Busting コードに沿った X-Frames-Options です。私が理解できないのは、以下が推奨されない理由であり、OWASP によると: ( https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet ) は機能しません (私のテストでは機能しますが)アプリケーション、次が含まれている場合、ページをフレーム化できません)
説明や回答へのリンクをいただければ幸いです。
どうやらこれは、情報がサブフレームでレンダリングされるまで META タグが受信されない可能性があるためです。これは Chrome や Firefox などのブラウザーでは引き続き機能しますが、IE では無視されます。
java - ESAPI ClickjackFilter が SiteMesh フィルターの後に来なければならないのはなぜですか?
OpenSymphony SiteMesh を使用してページを組み立てるアプリケーションがあり、応答に X-FRAME-OPTIONS ヘッダーを追加するために OWASP ESAPI ClickjackFilter を追加しました。
ただし、web.xml で ClickjackFilter マッピングが SiteMeshFilter マッピングの後にある場合にのみ機能します。クリックジャッキング フィルターが最初に来る場合、X-FRAME-OPTIONS ヘッダーは追加されません。
これは機能します:
これは機能しません:
これら 2 つのフィルターの順序が重要なのはなぜですか?
python - djangoでXframeオプションヘッダーを削除するには?
を含むページを作成しましたiframe。の中に、iframeFacebook の記事、ニュース、YouTube ビデオ、その他の可能な URL など、複数の異なるリンクを表示したいと考えています。しかし、Xframe ヘッダーが原因で、そうすることができません。次のリンクを参照しました:
https://docs.djangoproject.com/en/1.8/ref/clickjacking/
および
Django XFrameOptionsMiddleware (X-Frame-Options) - クライアント IP による iframe の許可
しかし、何の助けも得られませんでした。
私のsettings.pyファイルMIDDLEWARE_CLASSESは次のとおりです。
http://django-secure.readthedocs.org/en/latest/middleware.htmlから、デコレータを使用し@frame_deny_exemptて問題を解決できることがわかりました。それでも、Chromeコンソールで同じエラーが発生します
Refused to display '<URL>' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN, SAMEORIGIN'.
これについて何か助けはありますか??