此页面暴露于“点击劫持”类型的攻击
防止恶意人员将您的页面集成到他们的网站中。
点击劫持解释
当您的页面通过 <frame> 或 <iframe> 标签与恶意网站集成时,就会发生这种攻击。通过这样做,攻击者可以说服用户他们在您自己的页面上,而实际上他们不在。毫无戒心的用户可能会输入在恶意网站上可见并因此容易受到恶意网站攻击的个人信息。
为避免这种情况,请始终指明哪些域有权集成您的页面。
如何防止点击劫持?
有两种主要方法可以防止这种行为。
1/ 配置“X-Frame-Options”HTTP 标头。配置您的服务器,使主要资源响应包含“X-Frame-Options”HTTP 标头。
可以定义三个值:
DENY 阻止任何框架或 iframe 集成页面;
SAMEORIGIN 仅授权来自相同域名的框架;
ALLOW-FROM uri 表示允许将页面集成到框架中的域(但与某些浏览器不兼容)
2/ 在 Content-Security-Policy HTTP Header 中定义一个显式的 frame-ancestors 指令。 “frame-ancestors”指令是一个较新的指令,因此受到较少浏览器的支持,该方法将允许您的网站授权多个域而不是仅授权当前来源。将此指令设置为“无”类似于 X-Frame-Options: DENY。
选择哪种方法?如果您只允许当前域,请设置两个安全功能,以更好地与旧浏览器兼容。如果要允许多个域,则应仅实施 frame-ancestors 安全策略。
此页面上既没有配置“X-Frame-Options”HTTP 标头,也没有配置“frame-ancestors”安全策略;您更有可能遭受点击劫持。
没有评论:
发表评论
注意:只有此博客的成员才能发布评论。