最新公告
  • 欢迎您光临立业阁,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 界面操作劫持与HTML5安全的图文详解_html5教程


    一、界面操作劫持

    1)ClickJacking

    ClickJacking点击劫持,这是一种视觉上的欺骗。

    攻击者使用一个透明的、不可见的iframe,覆盖在网页的某个位置上,诱使用户点击iframe。

    2)TapJacking

    现在移动设备的使用率越来越高,针对移动设备的特点,衍生出了TapJacking(触屏劫持)。

    手机上的屏幕范围有限,手机浏览器为了节约空间,可以隐藏地址栏,手机上的视觉欺骗会更加容易实施。

    1. 第一张中最上方显示了浏览器地址栏,同时攻击者在页面中画出了一个假的地址栏;

    2. 第二张中真实的浏览器地址栏已经自动隐藏了,此时页面中只剩下假的地址栏;

    3. 第三张中是浏览器地址栏被正常隐藏的情况。

    这种针对视觉效果的攻击可以被利用进行钓鱼和欺诈。

    3)X-Frame-Options

    针对传统的界面劫持,通过禁止iframe来防范。

    HTTP头中有一个响应头X-Frame-Options,有三个值可以选择:

    1. DENY:该页面不允许加载任何 iframe页面。

    2. SAMEORIGIN:该页面可以加载相同域名的 iframe页面。

    3. ALLOW-FROM uri:该页面可以加载指定来源的 iframe页面。

    二、HTML5安全

    HTML5中新增的一些标签和属性,使得XSS等Web攻击产生了新的变化,在HTML5 Security Cheatsheet中总结了这些变化。

    1)隐藏URL恶意代码

    反射型XSS中,会将恶意代码写在URL参数中,这样的话,用户也能看到恶意代码,例如下面的链接:

    http://www.csrf.net/csrf.html?id=<script>111</script>

    可以通过window.history来操作浏览器的历史记录

    pushState()有三个参数:状态对象、标题,可选的URL地址。

    history.pushState({},"", location.href.split('?').shift());

    执行上面那段代码后就会将参数隐藏

    新的URL地址就是下面这个:

    “pushState”还可以伪造浏览器历史记录

    for(i=0; i<10; i++)
        history.pushState({},"", "/"+i+".html");

    2)HTML5下的僵尸网络

    僵尸网络(Botnet)是指在大量的计算机中植入特定的恶意程序,使控制者能够通过若干计算机直接向其他计算机发送指令,进行网络攻击。

    基于Web前端的僵尸网络可以用作DDOS攻击,这里涉及Web Worker技术CORS处理机制,再通过Web蠕虫传播。

    Web Worker是一种多线程机制,可以异步执行恶意JS代码,而不影响用户在浏览器中的正常操作。

    CORS处理机制工作在浏览器层面,如果服务器不允许跨站,浏览器将拦截服务器返回的结果,也就是说跨域请求,服务器也会正常响应。

    那么就可以事先写好一段异步请求的脚本(worker.js),然后通过Web Worker来执行这段脚本,不断的向目标服务器发起请求。

    var worker_loc = 'worker.js';//封装了ajax请求的脚本
    var target = ' 
    //可实例化多个
    Web Workervar workers = [];for (i = 0; i < 1; i++) {
          workers[i] = new Worker(worker_loc);
          workers[i].postMessage(target);//跨域消息传递}

    以上就是界面操作劫持与HTML5安全的图文详解的详细内容,

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    • 1195会员总数(位)
    • 111863资源总数(个)
    • 5本周发布(个)
    • 0 今日发布(个)
    • 249稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情
    冀ICP备19022365号-1 百度地图

    [email protected]

    立业阁(www.liyege.cn)免费提供wordpress主题模板、dedecms模板、帝国cms模板、小说网站源码、电影网站源码以及网络技术分享,建站源码,小说模板,电影模板,网赚教程,VPS推荐