当前位置 主页 > 本站WEB程序 > 安全 > IIS7网站监控 >
1. 攻击原理
界面劫持,分为点击劫持、拖放劫持、触屏劫持。就是我们的点击,拖放,触屏操作被劫持了,而去操作了其它的透明隐藏的界面。其原理是利用透明层+iframe,使用了css中的opacity和z-index等属性,来到达透明和位于其它界面的上方,然后使用iframe来嵌入劫持页面。到达了用户操作的不是它看到的,不是他以为的那个界面,而是那个透明的位于上层的界面。
2. 防御方法
有重要会话的交互页面不允许使用iframe嵌入,或者值允许被同域的iframe嵌入。
(1)X-Frame-Options
在web server端给Http响应头中加入一个X-Frame-Options头,取值有 "DENY" 和 "SAMEORIGIN",分别表示不能使用iframe和只能使用同域的iframe。
(2) Frame Busting脚本防御
if(top.location != self.location){
top.location = self.location;
}
禁止iframe的嵌套。