摘要:近期的工作都和交易有关,写代码都特别谨慎,前面说过前端如何防范跨站请求伪造攻击,这次准备简单说说防范点击劫持。有两种方式可以防范。使用防范判断顶层视口的域名是不是和本页面的域名一致,如果不一致就让恶意网页自动跳转到我方的网页。
近期的工作都和交易有关,写代码都特别谨慎,前面说过前端如何防范跨站请求伪造攻击(CSRF),这次准备简单说说防范点击劫持。
什么点击劫持?最常见的是恶意网站使用 标签把我方的一些含有重要信息类如交易的网页嵌入进去,然后把 iframe 设置透明,用定位的手段的把一些引诱用户在恶意网页上点击。这样用户不知不觉中就进行了某些不安全的操作。
有两种方式可以防范。
使用 JS 防范判断顶层视口的域名是不是和本页面的域名一致,如果不一致就让恶意网页自动跳转到我方的网页。当然你还可以恶心一下这些恶意网站,比如说弹窗十几次,或者跳转到某些404页面。
if (top.location.hostname !== self.location.hostname) { alert("您正在访问不安全的页面,即将跳转到安全页面!"); top.location.href = self.location.href; }使用 HTTP 头防范
通过配置 nginx 发送 X-Frame-Options 响应头,这样浏览器就会阻止嵌入网页的渲染。更详细的可以查阅MDN上关于X-Frame-Options 响应头的内容。
add_header X-Frame-Options SAMEORIGIN;
原文首发在我的 github 博客
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/11280.html
摘要:近期的工作都和交易有关,写代码都特别谨慎,前面说过前端如何防范跨站请求伪造攻击,这次准备简单说说防范点击劫持。有两种方式可以防范。使用防范判断顶层视口的域名是不是和本页面的域名一致,如果不一致就让恶意网页自动跳转到我方的网页。 近期的工作都和交易有关,写代码都特别谨慎,前面说过前端如何防范跨站请求伪造攻击(CSRF),这次准备简单说说防范点击劫持。 什么点击劫持?最常见的是恶意网站使用...
摘要:网络黑白一书所抄袭的文章列表这本书实在是垃圾,一是因为它的互联网上的文章拼凑而成的,二是因为拼凑水平太差,连表述都一模一样,还抄得前言不搭后语,三是因为内容全都是大量的科普,不涉及技术也没有干货。 《网络黑白》一书所抄袭的文章列表 这本书实在是垃圾,一是因为它的互联网上的文章拼凑而成的,二是因为拼凑水平太差,连表述都一模一样,还抄得前言不搭后语,三是因为内容全都是大量的科普,不涉及技术...
摘要:想阅读更多优质原创文章请猛戳博客一,跨站脚本攻击,因为缩写和重叠,所以只能叫。跨站脚本攻击是指通过存在安全漏洞的网站注册用户的浏览器内运行非法的标签或进行的一种攻击。跨站脚本攻击有可能造成以下影响利用虚假输入表单骗取用户个人信息。 前言 在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?本文主要侧重于分析几种常见的攻击的类型...
摘要:禁止内联脚本执行规则较严格,目前发现使用。典型的攻击流程受害者登录站点,并保留了登录凭证。站点接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是无辜的受害者发送的请求。攻击完成,攻击者在受害者不知情的情况下,冒充受害者完成了攻击。 随着互联网的发展,各种Web应用变得越来越复杂,满足了用户的各种需求的同时,各种网络安全问题也接踵而至。作为前端工程师的我们也逃不开这个问题,今天一起...
摘要:禁止内联脚本执行规则较严格,目前发现使用。典型的攻击流程受害者登录站点,并保留了登录凭证。站点接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是无辜的受害者发送的请求。攻击完成,攻击者在受害者不知情的情况下,冒充受害者完成了攻击。 随着互联网的发展,各种Web应用变得越来越复杂,满足了用户的各种需求的同时,各种网络安全问题也接踵而至。作为前端工程师的我们也逃不开这个问题,今天...
阅读 2364·2023-04-25 20:07
阅读 3302·2021-11-25 09:43
阅读 3661·2021-11-16 11:44
阅读 2528·2021-11-08 13:14
阅读 3177·2021-10-19 11:46
阅读 894·2021-09-28 09:36
阅读 2974·2021-09-22 10:56
阅读 2373·2021-09-10 10:51