分享一个Web漏洞之点击劫持的处理方式

一、什么是点击劫持技术

点击劫持是一种比较常见的基于浏览器的攻击。

点击劫持技术又称为界面伪装攻击,是一种视觉上的欺骗手段。攻击者使用一个或多个透明的 iframe 覆盖在一个正常的网页上,然后诱使用户在该网页上进行操作,当用户在不知情的情况下点击透明的 iframe 页面时,用户的操作已经被劫持到攻击者事先设计好的恶意按钮或链接上。攻击者既可以通过点击劫持设计一个独立的恶意网站,执行钓鱼攻击等;也可以与 XSS 和 CSRF 攻击相结合,突破传统的防御措施,提升漏洞的危害程度。

二、如何防护

如何使自己的网站避免这种情况出现,有两种处理方式:

第一种,使用Filter进行响应请求处理,代码如下:

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletResponse;

/**
 * 点击劫持过滤器
 */
public class ClickJackFilter implements Filter {

	private String mode = "DENY";

	public ClickJackFilter() {}

	@Override
	public void init(FilterConfig filterConfig) {
		String configMode = filterConfig.getInitParameter("mode");
		if (configMode != null && (configMode.equals("DENY") || configMode.equals("SAMEORIGIN"))) {
			this.mode = configMode;
		}
	}

	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		HttpServletResponse res = (HttpServletResponse) response;
		res.addHeader("X-FRAME-OPTIONS", this.mode);
		chain.doFilter(request, response);
	}

	@Override
	public void destroy() {}

}


第二种,使用nginx在请求头中添加配置,如下:

http {
    ...
    
    add_header X-Frame-Options SAMEORIGIN;
    
    ...
}


三、验证

<html>
<body>
    <iframe src="https://jfinal.com" width="100%" height="98%"></iframe>
</body>
</html>


评论区

JFinal

2020-10-20 15:26

这个方案极其简洁,谢谢你的分享,必赞

山东小木

2020-10-24 22:20

赞一个