此下的详解部分转自hyddd的博文http://www.cnblogs.com/hyddd/...，示例写的很赞就部分誊抄至此，并做了必定的修改，向作者hyddd致敬&申谢。

长处：比检查 Referer 要安然一些，并且不涉及用户隐私。

缺点：对所有请求都添加token比较艰苦，难以包管 token 本身的安然，依然会被应用获取到token

在 HTTP 头中自定义属性并验证+One-Time Tokens

将token放到 HTTP 头中自定义的属性里。经由过程 XMLHttpRequest 的异步请求交由后端校验，并且一次有效。

长处：同一治理token输入输出，可以包管token的安然性

缺点：有局限性，无法在非异步的请求上实施

点击劫持

点击劫持，英文名clickjacking，也叫UI覆盖进击，进击者会应用一个或多个透明或不通明的层来竽暌拐骗用户支撑点击按钮的操作，而实际的点击确切用户看不到的一个按钮，大年夜而达到在用户不知情的情况下实施进击。

这种进击方法的关键在于可以实现页中页的<iframe />标签，并且可以应用css样式表将他弗成见

如以上示意图的蓝色层，进击者会经由过程必定的手段诱惑用户“在红色层”输入信息，但用户实际上实袈溱蓝色层中，以此做欺骗行动。

拿付出宝做个栗子

上图是付出宝手机话费充值的界面。

参考

再看看一下界面

起首，你登录了银行网站A，然后拜访危险网站B，噢，这时你会发明你的银行账户少了1000块......

银行网站A的WEB表单如下：

上图我估计做了一下错位和降低透明度，是不是很有意思呢?傻傻分不清的用户还认为是领取了奖品，其实是给陌生人充值了话费。

这种办法最常见的进击场景是捏造一些网站窃取帐号信息，如付出宝、QQ、网易帐号等帐号的┞匪密

今朝，clickjacking还算比较冷门，很多安然意识不强的网站还未着手做clickjacking的防备。这是很危险的。

防备

防止点击劫持有两种重要办法：

应用HTTP头中的Referer断定请求来源是否合法。

X-FRAME-OPTIONS

X-FRAME-OPTIONS是微软提出的一个http头，指导浏览器不许可大年夜其他域进行取景，专门用来防御应用iframe嵌套的点击劫持进击。并且在IE8、Firefox3.6、Chrome4以上的版本均能很好的支撑。

这个头有三个值：

DENY // 拒绝任何域加载

SAMEORIGIN // 许可同源竽暌跪下加载

ALLOW-FROM // 可以定义许可frame加载的页面地址

顶层断定

top != self || top.location != self.location || top.location != location

有关Clickjacking防御的更多信息，请参阅Clickjacking Defense Cheat Sheet.

[1] 浅谈CSRF进击方法 - http://www.cnblogs.com/hyddd/...

【编辑推荐】

1. 态牛-Tech Neo 9月刊：基于算法的IT运维
2. GitHub 新特点，应用新的 Marketplace 应用法度榜样来进级工作流程
3. 2017年最受迎接的10个编程挑衅网站
4. Python老司机也会翻车！10个最轻易犯的Python开辟缺点
5. Dataset基于SQLAlchemy的便利对象

　　推荐阅读

　　华为轮值CEO徐直军：应对快速变化的世界

沙龙晃荡 | 去哪儿、陌陌、ThoughtWorks在主动化运维中的实践！10.28不见不散！ 在10月15日举办的2017中国治理>>>详细阅读

本文标题：关于Web安全的三个攻防姿势

地址：http://www.17bianji.com/lsqh/38025.html

 1/2    1