引言
当我们的页面嵌入到一个iframe中时,安全测试提出一个于我而言很新鲜的词汇–点击劫持,会造成安全隐患。
1. 什么是点击劫持?
点击劫持(ClickJacking)是一种视觉上的欺骗手段。大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义;
简单的说,就是用户点击了一个按钮,但是触发的操作不是正常期待的事件,而是触发了别的非意愿操作…
2. 解决办法
X-Frame-Options 响应头配置避免点击劫持攻击
原理:
X-Frame-Options HTTP响应头是用来给浏览器指示允许一个页面可否在<frame>,<iframe>或者<object>中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。
X-Frame-Options有三种可配置值,(属性值不区分大小写)
1 | X-Frame-Options: DENY |
指令
如果指定DENY,从其他站点加载时,不仅尝试在框架中加载页面失败,从同一站点加载时尝试这样做将失败。另一方面,如果指定SAMEORIGIN,只要包含在框架中的站点与为页面提供服务的站点相同,仍然可以在框架中使用该页面。
DENY无论站点尝试这样做,页面都不能显示在框架中。SAMEORIGIN该页面只能显示在与页面本身相同的源框架中。ALLOW-FROM_ uri_页面只能显示在指定原点的框架中。
当前项目是部署在nginx上的,那就以nginx为例来做个配置,除此还可以配置在 Apache,IIS等。
配置过程:
#1. 在nginx下 /opt/nginx/conf.d/example.conf下写入
1 | add_header X-Frame-Options "allow-from https://example.com/"; |
#2. 踩坑
发现在chrome下会报错,报错信息如下:
1 | Invalid 'X-Frame-Options' header encountered when loading 'example.com:8081/app.html': 'allow-from example.com/' is not a recognized directive. The header will be ignored. |
经过排查发现是在Chrome和Safari要使用Content-Security-Policy参数
#3. 设置用Content-Security-Policy
1 | add_header Content-Security-Policy "frame-ancestors example.com"; |
3. 参考链接
4. 相关知识点
防盗链攻击