黑帽联盟

标题: 防止网页被frame的几种方法 [打印本页]

---

作者: heimao    时间: 2017-6-24 19:06
标题: 防止网页被frame的几种方法
在我们平时的开发中，如果网页没有做防frame的处理，有可能被骇客利用，进行ClickJacking攻击，对网站造成损害。

其实在我们的日常开发中，养成这种安全意识的习惯，很容易就可以避免大部分的攻击力了。

以下几种方法可以防止被 FRAME 加载你的网站页面
1. meta 标签：很多时候没有效果，可以无视

1. meta http-equiv="Windows-Target" contect="_top"

复制代码

2. js 判断顶层窗口跳转，可轻易破解，意义不大

1. function locationTop(){
   
2.     if (top.location != self.location) {
   
3.         top.location = self.location;
   
4.         return false;      
   
5.     }
   
6.     return true;
   
7. }
   
8. locationTop();

复制代码

破解：

1. // 顶层窗口中放入代码
   
2. var location = document.location;
   
3. // 或者 var location = "";

复制代码

3. header 控制，绝大部分浏览器支持
使用 X-Frame-Options 有三个可选的值：
DENY：浏览器拒绝当前页面加载任何Frame页面
SAMEORIGIN：frame页面的地址只能为同源域名下的页面
ALLOW-FROM：允许frame加载的页面地址

Java代码:
response.addHeader("x-frame-options","SAMEORIGIN");

Nginx配置:
add_header X-Frame-Options SAMEORIGIN

Apache配置:
Header always append X-Frame-Options SAMEORIGIN

---

作者: feihu    时间: 2017-6-25 14:28
谢谢，学习了

---

作者: 权利的游戏    时间: 2017-6-26 15:40
看看哈，

---

作者: 66113443    时间: 2017-7-3 19:37
学习 学习学习学习

---

欢迎光临 黑帽联盟 (https://bbs.cnblackhat.com/)

Powered by Discuz! X2.5