web安全-点击劫持
2023-02-18 16:29:45 时间
web安全-点击劫持
opacity=0
iframe是目标网站 被内嵌了
1.用户亲手操作 盗取用户
视频
2.用户不知情
>* 引导点击 其实点击的是覆盖在下面opacity=0的iframe
3.code
<body style="background: url(clickhijack.png) no-repeat">
<iframe src="http://localhost:1521/post/15" width="800" height="600"></iframe>
</body>
4.点击劫持防御
>* javascript禁止内嵌
>* X-FRAME-OPTIONS禁止内嵌
5.防止方法
if(top.location !== window.location){
top.location = window.location;
}
6.http头处理
header('X-FRAME-OPTIONS: DENY')
相关文章
- 使用Commons Logging
- 记一次 .NET 某自动化采集软件 崩溃分析
- [C# 中的序列化与反序列化](.NET 源码学习)
- .NET 向量类型的运算结果范例——用于学习Vector类所提供百多个向量方法
- 树莓派(香橙派)通过.NET IoT 操作SPI编写屏幕驱动 顺手做个四足机器人(一)
- WPF自定义控件之消息提示
- .NET跨平台框架选择之一 - Avalonia UI
- 篇(16)-Asp.Net Core入门实战-权限管理之用户创建与关联角色(ViewModel再用与模型验证二)
- 学习ASP.NET Core Blazor编程系列十——路由(下)
- 代码生成器(CodeBuilder) 2.9.4 稳定版
- 篇(15)-入门实战-权限管理之用户创建与关联角色(ViewModel再用与模型验证一)
- 篇(14)-Asp.Net Core入门实战-权限管理之角色编辑和赋权(ViewModel-DTO初探)
- 算法-2 选择排序、冒泡排序、插入排序
- 篇(13)-Asp.Net Core入门实战-将功能代码增加异步功能Async和配置简单防范CSRF攻击
- NET 6 实现滑动验证码(一)、创建工程
- 算法-1 算法复杂度
- 在WPF中使用Prism弹出自定义窗体样式的对话框
- 使用Fody时,CS-SCRIPT动态代码无法找到程序集
- C# 使用SIMD向量类型加速浮点数组求和运算(3):循环展开
- aspnetcore两种上传图片(文件)的方式