日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

本期小編給大家分享有些實(shí)戰(zhàn)很有必要的防范小常識(shí),事情雖然比較小,但是往往被大家所忽視的問(wèn)題,并分享給大家.

今天主要給大家聊聊網(wǎng)絡(luò)劫持的那些事兒,網(wǎng)絡(luò)劫持,搞網(wǎng)絡(luò)安全的童鞋應(yīng)該不陌生了,但前端的小伙伴就可要當(dāng)心了哦!

大家常見(jiàn)的可能都是些專業(yè)級(jí)別的操作,如:運(yùn)營(yíng)商劫持,DNS劫持,HTTP劫持等,今天主要還是給大家講一下前端劫持,點(diǎn)擊劫持,很多童鞋對(duì)這個(gè)專業(yè)名詞可能比較陌生,但實(shí)際中最常見(jiàn).

我們先看一下概念吧,在百度上對(duì)于點(diǎn)擊劫持有這么一段話來(lái)描述:”點(diǎn)擊劫持被稱為Clickjacking的安全威脅，原本要在OWASPNYCAppSec2008大會(huì)上公布，但包括Adobe在內(nèi)的廠商請(qǐng)求暫時(shí)不要公開(kāi)這個(gè)漏洞，直到他們開(kāi)發(fā)出安全補(bǔ)丁。

發(fā)現(xiàn)這個(gè)漏洞的是兩個(gè)安全研究專家，Robert Hansen 與 Jeremiah Grossman，他們已經(jīng)略透露了一點(diǎn)相關(guān)信息以顯示該安全威脅的嚴(yán)重性。”

簡(jiǎn)而言之,點(diǎn)擊劫持,只是一種從視覺(jué)上欺騙使用者的手段,大致分為兩種方式.

方式一: 使用透明的iframe來(lái)覆蓋網(wǎng)頁(yè),讓用戶操作

方式二: 使用圖像來(lái)偽裝

簡(jiǎn)單的示例如下:

<!DOCTYPE html>

<html lang="en">

<head>

<meta charset="UTF-8">

<meta name="viewport" content="width=device-width, initial-scale=1.0">

<title>Document</title>

<style>

html,body,iframe{

display: block;

position:absolute;

width: 100%;

height: 100%;

margin: 0;

padding:0;

left:0;

right:0;

top:0;

bottom:0;

}

iframe{

opacity:20;

filter:alpha(opacity=20); /* IE */

-moz-opacity:0.2; /* Moz + FF */

opacity: 0.2; /* 支持css3的瀏覽器（FF 1.5也支持）*/

position:absolute;

z-index:2;

}

button{

position: absolute;

left:50%;

top:50%;

z-index: 1;

}

</style>

</head>

<body>

這是一個(gè)美女,大家先到先得!

<button>點(diǎn)擊查看詳情</button>

<iframe src="http://www.baidu.com" frameborder="0"></iframe>

</body>

</html>

原版效果如下圖:

以下為特定場(chǎng)景中的iframe框架效果,當(dāng)前也可以使用其它標(biāo)簽來(lái)實(shí)現(xiàn)功能,想一想如果我再把圖中的透明度設(shè)置為0,很多非法操作,是不是就很可能實(shí)現(xiàn)呢!?真是想一想都后怕.

總結(jié): 當(dāng)然以上內(nèi)容本質(zhì)上還只是一些大家沒(méi)有太注意到的UI層覆蓋問(wèn)題,只是實(shí)現(xiàn)的手段不一樣而己,類似的東西還有以下操作:

Flash點(diǎn)擊劫持,操作本機(jī)攝像頭等

圖片覆蓋攻擊(XSIO)

拖拽劫持,主要是用于數(shù)據(jù)竊取

觸屏劫持(TapJacking)

以上方式給上網(wǎng)用戶帶來(lái)了很多安全隱患,導(dǎo)致個(gè)人隱私泄露,各種帳號(hào)丟失,甚至還可以導(dǎo)致轉(zhuǎn)帳問(wèn)題,當(dāng)然這些問(wèn)題,也有對(duì)應(yīng)的解決方案

防御方案:

X-FRAME-OPTIONS是目前最可靠的方法。X-FRAME-OPTIONS是微軟提出的一個(gè)http頭，專門(mén)用來(lái)防御利用iframe嵌套的點(diǎn)擊劫持×××。并且在IE8、Firefox3.6、Chrome4以上的版本均能很好的支持。

這個(gè)頭有三個(gè)值：

DENY // 拒絕任何域加載

SAMEORIGIN / / 允許同源域下加載

ALLOW-FROM // 可以定義允許frame加載的頁(yè)面地址

php代碼:

header('X-Frame-Options:Deny');

header('X-Frame-Options:SAMEORIGIN);

配置 Apache

配置 Apache 在所有頁(yè)面上發(fā)送 X-Frame-Options 響應(yīng)頭，需要把下面這行添加到 'site' 的配置中:

Header always append X-Frame-Options SAMEORIGIN

配置 Nginx

配置 nginx 發(fā)送 X-Frame-Options 響應(yīng)頭，把下面這行添加到 'http', 'server' 或者 'location' 的配置中:

add_header X-Frame-Options SAMEORIGIN;

配置 IIS

配置 IIS 發(fā)送 X-Frame-Options 響應(yīng)頭，添加下面的配置到 Web.config 文件中:

<system.webServer>

<httpProtocol>

<customHeaders>

<add name="X-Frame-Options" value="SAMEORIGIN" />

</customHeaders>

</httpProtocol>

</system.webServer>