問題タブ [clickjacking]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
tomcat - tomcat 7 の Xframe オプション
クリックジャッキングを防ぐために、Tomcat web.xml に以下のコード スニペットを追加しました。
組み込みフィルターを追加するセクションで、追加しました
フィルターマッピング部分については、追加しました。
これらの 2 つの変更を編集して行った後、テスト ページ (ターゲット ページを で開こうとしている html ページ<frame>) がパスします (フレーム内でターゲット ページを開くことができません)。
しかし、apache のウェルカム ページでは、新しい変更により 404 が表示されます。
何か不足している場合はお知らせください。
content-security-policy - クリックジャックの実装の問題
Web サイトでのクリックジャッキングを回避するために、次のメタ タグを追加しました。
しかし、「次のコンテンツ セキュリティ ポリシー ディレクティブに違反しているため、インライン スタイルの適用を拒否されました: "default-src 'self'"」がスローされます。インライン実行を有効にするにはノンス ('nonce-...') が必要です。また、'style-src' が明示的に設定されていないため、'default-src' がフォールバックとして使用されることにも注意してください。
javascript - フレームキラーをバイパスするには?
私はこれを数時間壊そうとしていますが、成功していません...私は今かなり必死です:(
私は会社の侵入テストを行っており、このフレーム キラー JS をバイパスする必要があります。
'
ありがとうございました。
security - x-frame-options の値が重複しています
Web サイトのページで x-frame-options を設定していますが、ネストされたロジックが原因で、一部のページで次のような重複した値が表示されます。
それ以外の:
X-FRAME-OPTIONS に重複した値を割り当てても問題ありませんか?割り当てられた最初の値が選択され、残りは無視されますか?
ありがとうございました。