最近项目要交付了,对方安全测试的时候检测出高危险漏洞,由于刚参加工作不久,经验不足,未涉及过此方面的东西。经过一番查询和探索,最终解决了这个问题,记录一下。 发现的漏洞为缺少跨框架脚本保护。跨框架脚本(XFS)漏洞使攻击者能够在恶意页面的 HTMLiframe 标记内加载易受攻击的应用程序。攻击者可以使用       此漏洞设计点击劫持攻击,以实施钓鱼式攻击、框架探查攻击、社会工程攻击或跨站点请求伪造攻击。个人理解就是其他网站会在他的iframe中调用我的网站内容,来截取他人的点击事件或者窃取他人敏感信息。

在网上查了一下,有这类问题的说明,但是都是告诉要设置什么,却没有说具体在哪里配置。最后只能自己想办法。检测结果中提出了修复的方法:

浏览器供应商已使用 X-Frame-Options标头引入并采用基于策略的缓解技术。如果站点包含在 iframe内,则开发人员可以使用此标头指示浏览器执行相应操作。开发人员必须将X-Frame-Options标头设置为以下允许的值之一:

· DENY拒绝设置页面框架的所有尝试

· SAMEORIGIN仅当另一页面与设置框架的页面属于同一源时,该另一页面才能充当此页面的框架

· ALLOW-FROM源开发人员可以在源属性中指定受信源列表。只有源中的页面才允许在 iframe内部加载此页面

开发人员还必须使用客户端 frame busting JavaScript作为对 XFS的保护。这样也将保护不支持X-Frame-Options标头的旧版本浏览器用户免受点击劫持攻击。

关于X-Frame-Options,具体可以查看一下链接:

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options

讲解X-Frame-Options的很多,但是具体在哪里设置都不是很明确,看了半天并没有明白,也可能是本人能力有限,最后,个人猜测,我用的tomcat,编写的java web,既然是http响应头,那么不是跟server有关就是跟java web的web.xml有关,经过查看发现在Servers的web.xml中有一个关于X-Frame-Options的注解,在其下方有一个注释掉的filter,如下

  1. <!-- ================== Built In Filter Definitions ===================== -->
  2. <!-- A filter that sets various security related HTTP Response headers.   -->
  3. <!-- This filter supports the following initialization parameters         -->
  4. <!-- (default values are in square brackets):                             -->
  5. <!--                                                                      -->
  6. <!--   hstsEnabled         Should the HTTP Strict Transport Security      -->
  7. <!--                       (HSTS) header be added to the response? See    -->
  8. <!--                       RFC 6797 for more information on HSTS. [true]  -->
  9. <!--                                                                      -->
  10. <!--   hstsMaxAgeSeconds   The max age value that should be used in the   -->
  11. <!--                       HSTS header. Negative values will be treated   -->
  12. <!--                       as zero. [0]                                   -->
  13. <!--                                                                      -->
  14. <!--   hstsIncludeSubDomains                                              -->
  15. <!--                       Should the includeSubDomains parameter be      -->
  16. <!--                       included in the HSTS header.                   -->
  17. <!--                                                                      -->
  18. <!--   antiClickJackingEnabled                                            -->
  19. <!--                       Should the anti click-jacking header           -->
  20. <!--                       X-Frame-Options be added to every response?    -->
  21. <!--                       [true]                                         -->
  22. <!--                                                                      -->
  23. <!--   antiClickJackingOption                                             -->
  24. <!--                       What value should be used for the header. Must -->
  25. <!--                       be one of DENY, SAMEORIGIN, ALLOW-FROM         -->
  26. <!--                       (case-insensitive). [DENY]                     -->
  27. <!--                                                                      -->
  28. <!--   antiClickJackingUri IF ALLOW-FROM is used, what URI should be      -->
  29. <!--                       allowed? []                                    -->
  30. <!--                                                                      -->
  31. <!--   blockContentTypeSniffingEnabled                                    -->
  32. <!--                       Should the header that blocks content type     -->
  33. <!--                       sniffing be added to every response? [true]    -->
  34. <!--
  35. <filter>
  36. <filter-name>httpHeaderSecurity</filter-name>
  37. <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
  38. <async-supported>true</async-supported>
  39. </filter>
  40. -->
<!-- ================== Built In Filter Definitions ===================== -->

  <!-- A filter that sets various security related HTTP Response headers.   -->

  <!-- This filter supports the following initialization parameters         -->

  <!-- (default values are in square brackets):                             -->

  <!--                                                                      -->

  <!--   hstsEnabled         Should the HTTP Strict Transport Security      -->

  <!--                       (HSTS) header be added to the response? See    -->

  <!--                       RFC 6797 for more information on HSTS. [true]  -->

  <!--                                                                      -->

  <!--   hstsMaxAgeSeconds   The max age value that should be used in the   -->

  <!--                       HSTS header. Negative values will be treated   -->

  <!--                       as zero. [0]                                   -->

  <!--                                                                      -->

  <!--   hstsIncludeSubDomains                                              -->

  <!--                       Should the includeSubDomains parameter be      -->

  <!--                       included in the HSTS header.                   -->

  <!--                                                                      -->

  <!--   antiClickJackingEnabled                                            -->

  <!--                       Should the anti click-jacking header           -->

  <!--                       X-Frame-Options be added to every response?    -->

  <!--                       [true]                                         -->

  <!--                                                                      -->

  <!--   antiClickJackingOption                                             -->

  <!--                       What value should be used for the header. Must -->

  <!--                       be one of DENY, SAMEORIGIN, ALLOW-FROM         -->

  <!--                       (case-insensitive). [DENY]                     -->

  <!--                                                                      -->

  <!--   antiClickJackingUri IF ALLOW-FROM is used, what URI should be      -->

  <!--                       allowed? []                                    -->

  <!--                                                                      -->

  <!--   blockContentTypeSniffingEnabled                                    -->

  <!--                       Should the header that blocks content type     -->

  <!--                       sniffing be added to every response? [true]    -->

<!--

    <filter>

        <filter-name>httpHeaderSecurity</filter-name>

        <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>

        <async-supported>true</async-supported>

    </filter>

-->

于是把这个filter放入到java web的web.xml中进行测试,发现http相应头中有了关于X-Frame-Options的信息,最终经过尝试,成功的设置X-Frame-Options,如下:

  1. <filter>
  2. <filter-name>httpHeaderSecurity</filter-name>
  3. <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
  4. <async-supported>true</async-supported>
  5. <init-param>
  6. <param-name>antiClickJackingOption</param-name>
  7. <param-value>SAMEORIGIN</param-value>
  8. </init-param>
  9. </filter>
<filter>

        <filter-name>httpHeaderSecurity</filter-name>

        <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>

        <async-supported>true</async-supported>

        <init-param>

                <param-name>antiClickJackingOption</param-name>

                <param-value>SAMEORIGIN</param-value>

        </init-param>

</filter>

检测报告中的修复方法还说明了开发人员还必须使用客户端 frame busting JavaScript 作为对 XFS 的保护,故又进行了相关的查询,其实就是使用JavaScript来检测页面是否是当前打开页面的最外层,如果不是,将最外层的地址换成本页面的地址,实现方法很简单,如下:

  1. if (top != self) {top.location.replace(self.location.href); }
if (top != self) {top.location.replace(self.location.href); }

到此,就完成了,之前从未考虑过此方面的内容,果然,还是实际项目更加锻炼人。

IFrame安全问题解决办法(跨框架脚本(XFS)漏洞)的更多相关文章

  1. XFS: Cross Frame Script (跨框架脚本) 攻击。

    一.Cross Frame Script (跨框架脚本) 攻击什么是Cross Frame Script?很简单,做个实验就知道了.把下面的这段HTML代码另存为一个html文件,然后用ie浏览器打开 ...

  2. Cross Frame Script (跨框架脚本) 攻击

    一.Cross Frame Script (跨框架脚本) 攻击 什么是Cross Frame Script? 很简单,做个实验就知道了.把下面的这段HTML代码另存为一个html文件,然后用ie浏览器 ...

  3. ajax请求ashx跨域问题解决办法

    ajax请求ashx跨域问题解决办法 https://blog.csdn.net/windowsliusheng/article/details/51583566 翻译windowsliusheng  ...

  4. ASP.NET Core中的OWASP Top 10 十大风险-跨站点脚本攻击 (XSS)

    不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/201 ...

  5. CefSharp 提示 flash player is out of date 运行此插件 等问题解决办法

    CefSharp 提示 flash player is out of date 或者 需要手动右键点 运行此插件 脚本 等问题解决办法 因为中国版FlashPlayer变得Ad模式之后,只好用旧版本的 ...

  6. 使用过滤器解决SQL注入和跨站点脚本编制

    1 SQL注入.盲注 1.1 SQL注入.盲注概述 Web 应用程序通常在后端使用数据库,以与企业数据仓库交互.查询数据库事实上的标准语言是 SQL(各大数据库供应商都有自己的不同版本).Web 应用 ...

  7. 跨站点脚本攻击XSS

    来源:http://www.freebuf.com/articles/web/15188.html 跨站点脚本攻击是一种Web应用程序的攻击,攻击者尝试注入恶意脚本代码到受信任的网站上执行恶意操作.在 ...

  8. android使用友盟实现第三方登录、分享以及微信回调无反应问题解决办法

    这里介绍微信和新浪登录.微信登录和新浪登录都需要申请第三方账号.可以参考官方文档http://dev.umeng.com/social/android/operation#2还是很清晰的. 新浪微博开 ...

  9. Taro 3 正式版发布:开放式跨端跨框架解决方案

    作者:凹凸曼 - yuche 从 Taro 第一个版本发布到现在,Taro 已经接受了来自于开源社区两年多的考验.今天我们很高兴地在党的生日发布 Taro 3(Taro Next)正式版,希望 Tar ...

随机推荐

  1. POJ2248 Addition Chains 迭代加深

    不知蓝书的标程在说什么,,,,于是自己想了一下...发现自己的代码短的一批... 限制搜索深度+枚举时从大往小枚举,以更接近n+bool判重,避免重复搜索 #include<cstdio> ...

  2. loj 2038 / 洛谷 P4345 [SHOI2015] 超能粒子炮・改 题解

    好玩的推式子 题目描述 曾经发明了脑洞治疗仪与超能粒子炮的发明家 SHTSC 又公开了他的新发明:超能粒子炮・改--一种可以发射威力更加强大的粒子流的神秘装置. 超能粒子炮・改相比超能粒子炮,在威力上 ...

  3. layer.open中content里面的元素追加click事件,触发不了

    [注意] 事件要追加在触发弹出事件的点击事件里面 $('#feedback').click(function(){ layer.open({ content:'<div><div c ...

  4. 利用touchslide实现tab滑动切换

    <!DOCTYPE html> <html> <head> <meta http-equiv="Content-Type" content ...

  5. 完全原生javascript简约日历插件,js、html

    效果图: 效果如图所示,尽管看上去并不是很美观,但是,基本上的功能还是已经完成了,码了一天多的时间,权当做复习一下js吧. 整个做下来差不多码了500多行代码~其实只是很多的样式也包括了在其中了,虽然 ...

  6. Springboot与MyBatis简单整合

    之前搭传统的ssm框架,配置文件很多,看了几天文档才把那些xml的逻辑关系搞得七七八八,搭起来也是很麻烦,那时我完全按网上那个demo的版本要求(jdk和tomcat),所以最后是各种问题没成功跑起来 ...

  7. oracle 控制文件损坏处理

    一, 故障模拟 控制文件损坏 发现关闭不了 强制关闭   故障恢复   发现已经执行到mont阶段,因为这个不依靠控制文件 进入整段日志 cd /u01/app/oracle/diag/rdbms/o ...

  8. ansible 实战项目之文件操作(二)

    一,前言 如果没有安装好的话看我以前的贴子哦!! 上次安装已经确定通了,所以下面步骤应该是完全ok的 特点: (1).轻量级,无需在客户端安装agent,更新时,只需在操作机上进行一次更新即可: (2 ...

  9. 深度学习(五)基于tensorflow实现简单卷积神经网络Lenet5

    原文作者:aircraft 原文地址:https://www.cnblogs.com/DOMLX/p/8954892.html 参考博客:https://blog.csdn.net/u01287127 ...

  10. unity监听键盘按键

    放在Update里面 if (Input.anyKeyDown) { foreach (KeyCode keyCode in Enum.GetValues(typeof(KeyCode))) { if ...