Описание тега clickjacking
Clickjacking - это злонамеренный метод, позволяющий обманом заставить веб-пользователя щелкнуть что-то отличное от того, что пользователь воспринимает, когда он нажимает.
1
ответ
Проблема реализации
Я добавил следующий метатег, чтобы избежать кликбека на моем сайте. <meta http-equiv="Content-Security-Policy" content="default-src 'self'"> Но он выдает "Отказ от применения встроенного стиля, потому что он нарушает следующую директиву полити…
12 апр '16 в 11:36
2
ответа
Нужно ли устанавливать X-Frame-Options для страниц 404 Not Found
В листе защиты от Clickjacking OWASP рекомендует установить заголовок X-Frame-Options для всех ответов, содержащих содержимое HTML, но я не уверен, нужно ли устанавливать этот заголовок также для страниц 404 Not Found, которые содержат только это со…
12 сен '16 в 07:37
1
ответ
Веб-инспектор безопасности не признает мой перебор кадров эффективным
Я запускаю приложение webinspect для обнаружения угроз безопасности в моем приложении. Одной из обнаруженных угроз была (Cross-Frame Scripting), и я исправил ее, добавив (X-Frame-Options) заголовок (SAMEORIGIN). Теперь, когда я повторно запускаю веб…
31 окт '16 в 09:24
0
ответов
Прикрепить скрытое текстовое поле поверх видимого текстового поля в HTML
Я провожу некоторое тестирование безопасности веб-сайта, и я тестирую специально для исправления пользовательского интерфейса, который включает основной веб-сайт, содержащийся в iframe со скрытой формой в верхней части сайта. Идея состоит в том, что…
05 июл '17 в 18:17
1
ответ
Есть ли место, где я могу разместить контент на веб-сайте ASP.NET MVC 4, который будет отображаться на каждой странице?
У меня есть сайт MVC 4, и я хочу запретить пользователям показывать мой сайт в iframe. Я знаю, что должен добавить заголовок XFO X-FRAME-OPTIONS со значением DENY в моих ответах, но я хотел спросить, есть ли одно место, где я могу поместить это так,…
23 сен '13 в 16:29
1
ответ
Как в iframe можно вставить запрещенный сайт https 403?
Я нашел веб-сайт, который может получить доступ к запрещенным сайтам в его iframe, поэтому я осмотрел веб-страницу и iframe и обнаружил, что там было не так много сценариев или дизайна, а простой iframe, в котором показывался заблокированный сайт. Я…
26 ноя '18 в 06:00
0
ответов
Настроить заголовки ответов x-frame-options Spring Security 3.1
Я пытаюсь настроить заголовок ответа x-frame-options с Spring-Security 3.1, чтобы избежать атак ClickJacking. Я обнаружил, что могу сделать это с помощью файла конфигурации XML, но кажется, что это применимо только к Spring Securit 3.2. Есть ли друг…
21 авг '14 в 22:00
1
ответ
Возможен ли CSRF / clickjacking после очистки куки?
Насколько я понимаю, CSRF и Clickjacking используют тот факт, что браузер автоматически включает файлы cookie в запросы к веб-странице (то есть к тем, которые пришли с этого домена). Таким образом, злоумышленник подготовит вредоносный сайт и позвони…
15 янв '19 в 19:42
0
ответов
Есть ли способ передать тег сценария через запрос GET?
Я работаю над школьным проектом, и цель - довольно сложное нажатие. Я использую виртуальную машину и хост-домен. По сути, у меня очень уязвимый сайт покупок, и я пытаюсь наложить фреймы поверх некоторых кнопок на сайте. Мой первый подход заключается…
12 фев '19 в 20:04
0
ответов
Самый современный фреймворк Javascript?
Мне нужно добавить фреймбастер на основе javascript для моего веб-приложения, который помогает предотвращать атаки с использованием clickjacking (или Cross Frame Scripting) для устаревших браузеров, которые не поддерживают X-FRAME-OPTIONS. После пои…
22 авг '13 в 20:36
1
ответ
Лучшая практика: предотвращение взлома кликов: что делать, если JavaScript отключен?
В настоящее время я смотрю на защиту веб-сайта от перехвата кликов. Немецкая Википедия дает следующий лучший пример для этого: <style> html{display : none ; } </style> <script> if( self == top ) { document.documentElement.style.dis…
20 июл '16 в 07:44
1
ответ
Как избежать кликджекинга моего проекта Silverlight?
У меня есть приложение ASP / Silverlight. Я не хочу, чтобы он был загружен в любой iframe. (Избегайте Clickjacking) Я погуглил и обнаружил, что для x-frame-options нужно установить SAMEORIGIN или DENY, чтобы избежать подобных действий. Поскольку я н…
16 июл '15 в 10:00
2
ответа
Угрозы безопасности iFrame от встраивания хакером
В моем приложении ( http://www.example.com/) я использую iFrame ( https://www.example.com/iframe-application). Главная страница (www.example.com) отображает только пользовательские данные на основе файлов cookie, установленных iFrame. В iFrame есть …
09 авг '13 в 21:38
1
ответ
Есть ли способ создать черный список iframe?
Я заметил, по крайней мере, один сайт, который включает мой сайт в iframe, и мне любопытно, как лучше всего запретить этот тип поведения. Я уже включил некоторый Javascript, который должен быть в состоянии поднять, если сайт создает мой, чтобы я мог…
11 мар '13 в 17:37
1
ответ
Как добавить поддержку анти-кликджекинга в приложение, которое я создаю в webapp2 для google app engine?
Я знаю, что есть промежуточное программное обеспечение WSGI для django, но я ничего не могу найти для webapp2. Будет ли работать промежуточное ПО Django?
14 май '13 в 01:23
1
ответ
Опции X-Frames в метатеге
Я создал тестовое приложение, в котором я изучаю различные методы защиты от Clickjacking и других атак, направленных на исправление пользовательского интерфейса. Одним из наиболее часто используемых методов является X-Frames-Options вдоль кода Frame…
07 май '15 в 13:11
0
ответов
Предотвращение атаки кликджеков Ваадином
Я хочу предотвратить атаку с помощью clickjacking в приложениях Vaadin 7 и 8. Поскольку приложения Vaadin по умолчанию предназначены для встраиваемости, для обеспечения безопасности требуется некоторая конфигурация или код. Вот мой первый эксперимен…
26 июл '17 в 08:32
0
ответов
Невозможно загрузить контент в iframe из приложения другого происхождения
У меня есть приложение MVC + Angular, размещенное на localhost:5000. Это загружает контент внутри iframe из другого приложения, размещенного на localhost:6000. Я установил X-Frame-Option для SAMEORIGIN в web.config обоих приложений, чтобы избежать щ…
08 окт '18 в 15:00
6
ответов
Как защитить виджеты от поддельных запросов
Допустим, у вас есть виджет JavaScript, который должен запускать запрос к вашему веб-приложению, если и только если пользователь хочет щелкнуть по нему. Вы не хотите, чтобы этот запрос был уязвим для CSRF, поэтому вы пишете на страницу iframe. Исход…
07 сен '11 в 02:32
0
ответов
Click-jacking: объяснение кода для предотвращения Click Jacking в более старом браузере
Я нашел этот фрагмент JavaScript в Интернете, который гласит: "Это решение для клик-джеккинга для старых браузеров". try { top.document.domain } catch (e) { var f = function() { document.body.innerHTML = ''; }; setInterval( f, 1 ); if ( document.bod…
16 май '18 в 10:45