您的位置：浩海代码网 » PHP代码 » 基于iframe的CFS(Cross Frame Script)和Clickjacking(点击劫持)攻击

基于iframe的CFS(Cross Frame Script)和Clickjacking(点击劫持)攻击

PHP代码 2014-06-30 17:23:54 作者: 浩海代码网阅读() 评论字号：大中小订阅

攻击原理：

CFS攻击(Cross Frame Script(跨框架脚本)攻击)是利用浏览器允许框架(frame)跨站包含其它页面的漏洞，在主框架的代码

中加入scirpt，监视、盗取用户输入。

Clickjacking(点击劫持) 则是是一种视觉欺骗手段，在web端就是iframe嵌套一个透明不可见的页面，让用户在不知情的情况下，

点击攻击者想要欺骗用户点击的位置。

CFS 和 Clickjacking其实都是基于网页iframe产生的攻击。当没有预防的时候，攻击者可以利用iframe的方式包含你的网页，

采用欺骗的方式，引导用户过来点击，利用监听盗取用户输入信息或者是利用样式控制或者骗取用户点击某个特定的区域，而达到

获取劫持的目的。

如何预防：

知道页面是被别人iframe的时候，那么防止被 FRAME 加载你的网站页面就可以有效的防止被攻击了。

1、HTML页面(这种方式的话，一样可以破解，可以作为基础的预防)

meta是用来在HTML文档中模拟HTTP协议的响应头报文。在HTML页面header中加上'<meta http-equiv="windows-Target" contect="_top">'

强制页面在当前窗口中以独立页面显示，可以防止自己的网页被别人当作一个frame页调用.

2、利用js防止页面被iframe嵌套

if( top.location != self.location ) top.location.href = self.location;

</script>

利用js的话，其实也同样可以破解。如下：

// 顶层窗口中放入代码

var location = document.location;

// 或者 var location = "";

3、使用X-Frame-Options

X-FRAME-OPTIONS是微软提出的一个http头，专门用来防御利用iframe嵌套的点击劫持攻击。并且目前市面上主流的浏览器都支持。

这个头有三个值：

DENY // 拒绝任何域加载

SAMEORIGIN // 允许同源域下加载

ALLOW-FROM // 可以定义允许frame加载的页面地址

那么在PHP和Nginx端如何设置预防如下：

PHP比如说用的是MVC框架的单一入口文件，那么在index.php中直接加上下面这句话：

header('X-Frame-Options:Deny');

Nginx可以在配置文件server{}中加上：

add_header X-Frame-Options SAMEORIGIN 然后重启Nginx即可

加上X-Frame-Options之后，访问网页，会看到header头返回信息中有出现"X-Frame-Options:SAMEORIGIN",如图：

4、另外针对js可以采用下面的方式

<html>

<head>

</head>

<body>

我是body

</body>

if (self == top) {

var theBody = document.getElementsByTagName('body')[0];

theBody.style.display = "block";

} else {

top.location = self.location;

}

</script>

</html>

本文地址:http://www.it300.com/article-15409.html

标签：CFS攻击 Clickjacking点击劫持攻击

阅读| 评论| 举报

理解json两种结构：数组和对象

使用PHP生成带LOGO的个性化二维码图像

基于iframe的CFS(Cross Frame Script)和Clickjacking(点击劫持)攻击

评论

推荐信息

热门信息

最近更新

标签(TAG)云

友情链接

浩海代码网 php 代码网 php代码 seo优化 php源码 php教程 mysql php代码网 Codeigniter

基于iframe的CFS(Cross Frame Script)和Clickjacking(点击劫持)攻击

评论

推荐信息

热门信息

最近更新

标签(TAG)云

友情链接