最淺顯易懂的Django系列教程(43)-點擊劫持攻擊

clickjacking攻擊:

clickjacking攻擊又稱作點擊劫持攻擊。是一種在網(wǎng)頁中將惡意代碼等隱藏在看似無害的內(nèi)容(如按鈕)之下,并誘使用戶點擊的手段矫限。

clickjacking攻擊場景:

場景一:

如用戶收到一封包含一段視頻的電子郵件催式,但其中的“播放”按鈕并不會真正播放視頻,而是鏈入一購物網(wǎng)站临庇。這樣當(dāng)用戶試圖“播放視頻”時反璃,實際是被誘騙而進(jìn)入了一個購物網(wǎng)站。

場景二:

用戶進(jìn)入到一個網(wǎng)頁中假夺,里面包含了一個非常有誘惑力的按鈕A淮蜈,但是這個按鈕上面浮了一個透明的iframe標(biāo)簽,這個iframe標(biāo)簽加載了另外一個網(wǎng)頁已卷,并且他將這個網(wǎng)頁的某個按鈕和原網(wǎng)頁中的按鈕A重合梧田,所以你在點擊按鈕A的時候,實際上點的是通過iframe加載的另外一個網(wǎng)頁的按鈕侧蘸。比如我現(xiàn)在有一個百度貼吧裁眯,想要讓更多的用戶來關(guān)注,那么我們可以準(zhǔn)備以下一個頁面:

<!DOCTYPE html>
<html>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312" />
<head>
<title>點擊劫持</title>
<style>
    iframe{
        opacity:0.01;
        position:absolute;
        z-index:2;
        width: 100%;
        height: 100%;
    }
    button{
        position:absolute;
        top: 345px;
        left: 630px;
        z-index: 1;
        width: 72px;
        height: 26px;
    }
</style>
</head>
<body>
    這個合影里面怎么會有你讳癌?
    <button>查看詳情</button>
    <iframe src="http://tieba.baidu.com/f?kw=%C3%C0%C5%AE"></iframe>
</body>
</html>
頁面看起來比較簡陋穿稳,但是實際上可能會比這些更精致一些。當(dāng)這個頁面通過某種手段被傳播出去后晌坤,用戶如果點擊了“查看詳情”逢艘,實際上點擊到的是關(guān)注的按鈕,這樣就可以增加了一個粉絲骤菠。

clickjacking防御:

像以上場景1它改,是沒有辦法避免的,受傷害的是用戶商乎。而像場景2央拖,受傷害的是百度貼吧網(wǎng)站和用戶。這種場景是可以避免的鹉戚,只要設(shè)置百度貼吧不允許使用iframe被加載到其他網(wǎng)頁中爬泥,就可以避免這種行為了。我們可以通過在響應(yīng)頭中設(shè)置X-Frame-Options來設(shè)置這種操作崩瓤。X-Frame-Options可以設(shè)置以下三個值:

  1. DENY:不讓任何網(wǎng)頁使用iframe加載我這個頁面袍啡。
  2. SAMEORIGIN:只允許在相同域名(也就是我自己的網(wǎng)站)下使用iframe加載我這個頁面。
  3. ALLOW-FROM origin:允許任何網(wǎng)頁通過iframe加載我這個網(wǎng)頁却桶。

Django中境输,使用中間件django.middleware.clickjacking.XFrameOptionsMiddleware可以幫我們堵上這個漏洞,這個中間件設(shè)置了X-Frame-OptionSAMEORIGIN颖系,也就是只有在自己的網(wǎng)站下才可以使用iframe加載這個網(wǎng)頁嗅剖,這樣就可以避免其他別有心機的網(wǎng)頁去通過iframe去加載了。

看文章不過癮嘁扼?還有免費的視頻教程信粮,讓你學(xué)起來更輕松:https://www.zhiliaoketang.cn/course/detail/4.html

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末,一起剝皮案震驚了整個濱河市趁啸,隨后出現(xiàn)的幾起案子强缘,更是在濱河造成了極大的恐慌督惰,老刑警劉巖,帶你破解...
    沈念sama閱讀 217,185評論 6 503
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件旅掂,死亡現(xiàn)場離奇詭異赏胚,居然都是意外死亡,警方通過查閱死者的電腦和手機商虐,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,652評論 3 393
  • 文/潘曉璐 我一進(jìn)店門觉阅,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人秘车,你說我怎么就攤上這事典勇。” “怎么了叮趴?”我有些...
    開封第一講書人閱讀 163,524評論 0 353
  • 文/不壞的土叔 我叫張陵割笙,是天一觀的道長。 經(jīng)常有香客問我疫向,道長咳蔚,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 58,339評論 1 293
  • 正文 為了忘掉前任搔驼,我火速辦了婚禮谈火,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘舌涨。我一直安慰自己糯耍,他們只是感情好,可當(dāng)我...
    茶點故事閱讀 67,387評論 6 391
  • 文/花漫 我一把揭開白布囊嘉。 她就那樣靜靜地躺著温技,像睡著了一般。 火紅的嫁衣襯著肌膚如雪扭粱。 梳的紋絲不亂的頭發(fā)上舵鳞,一...
    開封第一講書人閱讀 51,287評論 1 301
  • 那天,我揣著相機與錄音琢蛤,去河邊找鬼蜓堕。 笑死,一個胖子當(dāng)著我的面吹牛博其,可吹牛的內(nèi)容都是我干的套才。 我是一名探鬼主播,決...
    沈念sama閱讀 40,130評論 3 418
  • 文/蒼蘭香墨 我猛地睜開眼慕淡,長吁一口氣:“原來是場噩夢啊……” “哼背伴!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 38,985評論 0 275
  • 序言:老撾萬榮一對情侶失蹤傻寂,失蹤者是張志新(化名)和其女友劉穎息尺,沒想到半個月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體崎逃,經(jīng)...
    沈念sama閱讀 45,420評論 1 313
  • 正文 獨居荒郊野嶺守林人離奇死亡掷倔,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 37,617評論 3 334
  • 正文 我和宋清朗相戀三年眉孩,在試婚紗的時候發(fā)現(xiàn)自己被綠了个绍。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 39,779評論 1 348
  • 序言:一個原本活蹦亂跳的男人離奇死亡浪汪,死狀恐怖巴柿,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情死遭,我是刑警寧澤广恢,帶...
    沈念sama閱讀 35,477評論 5 345
  • 正文 年R本政府宣布,位于F島的核電站呀潭,受9級特大地震影響钉迷,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜钠署,卻給世界環(huán)境...
    茶點故事閱讀 41,088評論 3 328
  • 文/蒙蒙 一糠聪、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧谐鼎,春花似錦舰蟆、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,716評論 0 22
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至草戈,卻和暖如春塌鸯,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背唐片。 一陣腳步聲響...
    開封第一講書人閱讀 32,857評論 1 269
  • 我被黑心中介騙來泰國打工丙猬, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人牵触。 一個月前我還...
    沈念sama閱讀 47,876評論 2 370
  • 正文 我出身青樓淮悼,卻偏偏與公主長得像,于是被迫代替她去往敵國和親揽思。 傳聞我的和親對象是個殘疾皇子袜腥,可洞房花燭夜當(dāng)晚...
    茶點故事閱讀 44,700評論 2 354