当前位置：首页 > news >正文

点击劫持概念及解决办法

news 2025/10/21 14:00:46

1.点击劫持的概念

点击劫持 (Clickjacking) 技术又称为界面伪装攻击 (UI redress attack )，是一种视觉上的欺骗手段。攻击者使用一个或多个透明的 iframe 覆盖在一个正常的网页上，然后诱使用户在该网页上进行操作，当用户在不知情的情况下点击透明的 iframe 页面时，用户的操作已经被劫持到攻击者事先设计好的恶意按钮或链接上。攻击者既可以通过点击劫持设计一个独立的恶意网站，执行钓鱼攻击等；也可以与 XSS 和 CSRF 攻击相结合，突破传统的防御措施，提升漏洞的危害程度

2.测试案例

新建一个html，src内容为目标网站

<head></head>
...
<body><iframe id="target_website" src="http://localhost:8090/ssm_maven/student/add"></iframe>
</body>

项目地址为：

https://gitee.com/fluosetine/java-projects.git

效果如下：

可以把嵌入的页面隐藏，使用一些其他的页面覆盖在上边，进行相关的操作。

3.解决办法

在微软发布新一代的浏览器 Internet Explorer 8.0 中首次提出全新的安全机制：X-FRAME-OPTIONS。该机制有两个选项：DENY 和 SAMEORIGIN。DENY 表示任何网页都不能使用 iframe 载入该网页，SAMEORIGIN 表示符合同源策略的网页可以使用 iframe 载入该网页。如果浏览器使用了这个安全机制，在网站发现可疑行为时，会提示用户正在浏览网页存在安全隐患，并建议用户在新窗口中打开。这样攻击者就无法通过 iframe 隐藏目标的网页。

X-Frame-Options HTTP 响应头，可以指示浏览器是否应该加载一个 iframe 中的页面。网站可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从而防止点击劫持。

X-Frame-Options 共有三个值：

DENY：任何页面都不能被嵌入到 iframe 或者 frame 中。

SAMEORIGIN：页面只能被本站页面嵌入到 iframe 或者 frame 中。

ALLOW-FROM URI：页面自能被指定的 Uri 嵌入到 iframe 或 frame 中。

对于 java 项目，只需设置过滤器在过滤器中指定 response.addHeader ("x-frame-options","SAMEORIGIN")；就行了

增加过滤器，项目中相关的类AddResponseHeaderFilter

public class AddResponseHeaderFilter extends OncePerRequestFilter
{//Internet Explorer 8.0中@Overrideprotected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)throws ServletException, IOException {System.out.println("=====X-Frame-Options, SAMEORIGIN=====");String requestUrI = request.getRequestURI().toString();System.out.println(requestUrI);//response.addHeader("x-frame-options","DENY"); // 任何页面都不能被嵌入到 iframe 或者 frame 中。response.addHeader("X-Frame-Options", "SAMEORIGIN");//页面只能被本站页面嵌入到 iframe 或者 frame 中。filterChain.doFilter(request, response);}}

解决后效果如下：

点击劫持概念及解决办法

1.点击劫持的概念

2.测试案例

3.解决办法

相关文章：

点击劫持概念及解决办法

【Spring】手动实现Spring底层机制-问题的引出

Java - List 去重，获取唯一值，分组列出所属对应集合

离散高斯抽样（Discrete Gaussian Sampling）

Elasticsearch：什么是生成式人工智能？

责任链模式让我的代码精简10倍？

Draw软件安装下载

uniapp代码混淆ios上架43问题

Linux目录遍历函数

数据库-理论基础

【已解决】src/spt_python.h:14:20: 致命错误：Python.h：没有那个文件或目录

基于Face++网络爬虫+人脸融合算法智能发型推荐程序——深度学习算法应用(含Python及打包exe工程源码)+爬虫数据集

Jetson nano嵌入式平台配置ip记录

前端中的跨域请求及其解决方案

SpringBoot2.0（mybatis-plus初始使用）

游戏视频录制软件对比，哪款最适合你的需求？

耐蚀合金连续油管最新版学习记录

LoGoNet：基于局部到全局跨模态融合的精确 3D 目标检测

Python 多线程、线程池、进程池

深入浅出了解华为端到端交付流程的概念和5个关键点

eNSP-Cloud(实现本地电脑与eNSP内设备之间通信)

多模态2025：技术路线“神仙打架”，视频生成冲上云霄

大数据零基础学习day1之环境准备和大数据初步理解

ESP32读取DHT11温湿度数据

【论文笔记】若干矿井粉尘检测算法概述

Maven 概述、安装、配置、仓库、私服详解

Pinocchio 库详解及其在足式机器人上的应用

AGain DB和倍数增益的关系

为什么要创建 Vue 实例

永磁同步电机无速度算法--基于卡尔曼滤波器的滑模观测器