点击劫持攻击和预防

た入场券 2023-09-27 08:18 1阅读 0赞

在本文中，您将了解点击劫持攻击、它们的工作原理、它们如何使您的网站用户面临风险以及如何防止它。

### **什么是点击劫持？** ###

点击劫持攻击诱使网站用户在不知情的情况下在网站上执行不需要的操作。它通过将目标网站分层在恶意网站上的不可见框架中来工作。当用户认为他们点击了攻击者页面上的按钮时，实际上他们点击了完全不同的网站上的某些内容。

### **一个例子** ###

假设我们有一个防火墙管理员，他在`https://firewall.example`.

![204f189d43394259bb073a10bc4866dd.webp][]

攻击者可以做的是创建这样的页面。它诱使用户单击按钮。实际上，用户会禁用防火墙，因为防火墙管理页面位于 iframe 中按钮的顶部。

![d6b5fdb190fc41088277502113ee8bf7.webp][]

当然，在真正的攻击中，我们不会有任何不透明度，因此页面看起来像这样：

![499faf46561c4b928187338aa23c6ac8.webp][]

的代码`https://evil.example`可能看起来（以非常简化的形式）如下：

<div class="underlay">
      <h1>WANT A MILLION DOLLARS?</h1>
      <button>CLICK ME</button>
    </div>
    <iframe class="invisible-overlay" src="https://firewall.example"></iframe>

### **现场演示** ###

[这][Link 1]是一个小的网络应用程序。您可以立即试用。单击按钮以启用和禁用防火墙，但将其保持打开状态，以便我们可以在一分钟内通过点击劫持攻击将其关闭。

![eb8886246b694ba1914e2edc759ce061.webp][]

攻击者将创建一个显示“CLICK ME”按钮的页面，然后将目标应用程序覆盖在按钮顶部。用户不会点击“CLICK ME”按钮，而是会在不经意间点击防火墙管理页面上的“DISABLE”按钮。

[这][Link 2]是攻击者页面，它有点不透明，以显示它是如何工作的。

![048a3e00f6da45bf9c2fd71d6125da1b.webp][]

[这][Link 3]是最后的攻击，框架完全不可见。尝试单击该按钮，然后向上滚动到防火墙页面。观察防火墙是如何被禁用的。

![28b8668f409741128bf97d8131675f3f.webp][]

![8ae3864da7b94890a850a7f2ef09ee72.webp][]

[你可以在][Link 4][这里][Link 5]分叉并玩弄演示和攻击。

### **防止点击劫持攻击** ###

防止点击劫持攻击的唯一方法是阻止其他网站构建您的网站。有几种方法可以做到这一点。

#### X-Frame-Options 标头 ####

您可以使用`X-Frame-Options`HTTP 响应标头告诉浏览器根本不要构建您的网站。

X-Frame-Options: DENY

或者，您只能允许取景，但只能来自您的网站。

X-Frame-Options: SAMEORIGIN

但是，`X-Frame-Options`不能用于允许特定网站构建您的网站，并且已被`Content-Security-Policy`. [在这里][Link 6]阅读更多。

有关`X-Frame-Options`浏览器支持的详细信息，请参阅[此页面][Link 7]

#### 内容安全策略 ####

`Content-Security-Policy`HTTP 响应标头有一个名为的指令，`frame-ancestors`您可以使用它来防止您的网站框架化。

Content-Security-Policy: ...other options... frame-ancestors 'none'

或者，就像`X-Frame-Options`您可以允许您的网站像这样构建自己的框架：

Content-Security-Policy: ...other options... frame-ancestors 'self'

使用 CSP 代替的主要好处`X-Frame-Options`是您还可以允许特定的外部网站来构建您的网站。

Content-Security-Policy: ...other options... frame-ancestors https://foo.example

`frame-ancestors` [在此处][Link 8]阅读有关 CSP 的更多信息。

有关浏览器支持的最新状态`frame-ancestors`，请查看[此页面][Link 9]。

#### 隔离政策 ####

防止成帧的第三种方法是使用获取元数据标头实现隔离策略。但是，并非所有浏览器都支持获取元数据。因此，您还必须实现`X-Frame-Options`or 或`Content-Security-Policy`with `frame-ancestors`。

要实施防止成帧的隔离策略：

*  创建一个中间件类，根据其标头过滤 HTTP 请求。
 *  根据获取元数据请求标头，阻止来自其他网站的请求。
 *  如果您还想阻止您的网站自行构建框架，请同时阻止所有非指向文档的导航请求。

如果您不熟悉获取元数据标头，我知道这听起来有点抽象。[这][Link 10]是一篇关于该主题的完整文章，其中包含一个可以在 CodeSandbox 上运行的完整示例。

有关获取元数据标头的浏览器支持的最新状态，请查看[此页面][Link 11]。

### **概括** ###

点击劫持攻击是对 Web 应用程序的真正威胁。防止它们的唯一方法是不允许其他网站构建您的 Web 应用程序。

幸运的是，浏览器使我们能够做到这一点。最重要的防御是部署一个`X-Frame-Options`或一个`Content-Security-Policy`阻止框架的头。

您可以通过实施带有获取元数据标头的隔离策略来阻止对服务器端帧的请求，从而实现一个很好的附加防御层。

[204f189d43394259bb073a10bc4866dd.webp]: https://img-blog.csdnimg.cn/204f189d43394259bb073a10bc4866dd.webp
[d6b5fdb190fc41088277502113ee8bf7.webp]: https://img-blog.csdnimg.cn/d6b5fdb190fc41088277502113ee8bf7.webp
[499faf46561c4b928187338aa23c6ac8.webp]: https://img-blog.csdnimg.cn/499faf46561c4b928187338aa23c6ac8.webp
[Link 1]: https://tw1go.sse.codesandbox.io/
[eb8886246b694ba1914e2edc759ce061.webp]: https://img-blog.csdnimg.cn/eb8886246b694ba1914e2edc759ce061.webp
[Link 2]: https://lbgq0.csb.app/
[048a3e00f6da45bf9c2fd71d6125da1b.webp]: https://img-blog.csdnimg.cn/048a3e00f6da45bf9c2fd71d6125da1b.webp
[Link 3]: https://wjunr.csb.app/
[28b8668f409741128bf97d8131675f3f.webp]: https://img-blog.csdnimg.cn/28b8668f409741128bf97d8131675f3f.webp
[8ae3864da7b94890a850a7f2ef09ee72.webp]: https://img-blog.csdnimg.cn/8ae3864da7b94890a850a7f2ef09ee72.webp
[Link 4]: https://codesandbox.io/s/clickjacking-demo-opacity-lbgq0
[Link 5]: https://codesandbox.io/s/clickjacking-demo-tw1go?file=/public/index.html
[Link 6]: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
[Link 7]: https://appsecmonkey.com/browser-support/x-frame-options
[Link 8]: https://appsecmonkey.com/blog/content-security-policy#frame-ancestors
[Link 9]: https://appsecmonkey.com/browser-support/content-security-policy#frame-ancestors
[Link 10]: https://appsecmonkey.com/blog/fetch-metadata
[Link 11]: https://appsecmonkey.com/browser-support/fetch-metadata