漏洞描述:
点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。
HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面。如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网站可以通过设置X-Frame-Options阻止站点内的页面被其他页面嵌入从而防止点击劫持。
攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。也就是说网站内容可能被其他站点引用,可能遭受到点击劫持攻击。
解决方案:
修改web服务器配置,添加X-Frame-Options响应头。赋值有如下三种:
1、DENY:不能被嵌入到任何iframe或者frame中。
2、SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中
3、ALLOW-FROM uri:只能被嵌入到指定域名的框架中.换一句话说,如果设置为DENY,不光在别人的网站frame嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为SAMEORIGIN,那么页面就可以在同域名页面的frame中嵌套。正常情况下我们通常使用SAMEORIGIN参数。
在服务端设置的方式如下:
Java代码: response.addHeader("x-frame-options","SAMEORIGIN");
Nginx配置: add_header X-Frame-Options SAMEORIGIN
Apache配置: Header always append X-Frame-Options SAMEORIGIN
以下为具体配置细节:
apache配置http.conf:
<IfModule headers_module> Header always append X-Frame-Options "DENY" </IfModule>
配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 ‘site’ 的配置中:
Header always set X-Frame-Options "sameorigin"
要将 Apache 的配置 X-Frame-Options 设置成 deny , 按如下配置去设置你的站点:
Header set X-Frame-Options "deny"
要将 Apache 的配置 X-Frame-Options 设置成 allow-from,在配置里添加:
Header set X-Frame-Options "allow-from https://example.com/"
nginx配置
nginx 发送 X-Frame-Options 响应头,把下面这行添加到 ‘http’, ‘server’ 或者 ‘location’ 的配置中:
add_header X-Frame-Options sameorigin always;
IIS配置:
IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:
<system.webServer> ... <httpProtocol> <customHeaders> <add name="X-Frame-Options" value="sameorigin" /> </customHeaders> </httpProtocol> ...</system.webServer>
HAProxy配置:
HAProxy 发送 X-Frame-Options 头,添加这些到你的前端、监听 listen,或者后端的配置里面:
rspadd X-Frame-Options:\ sameorigin
或者,在更加新的版本中:
http-response set-header X-Frame-Options sameorigin
Express配置:
Express 可以发送 X-Frame-Options header,你可以用借助了 frameguard 来设置头部的 helmet。在你的服务器配置里面添加:
const helmet = require('helmet');const app = express();app.use(helmet.frameguard({ action: "sameorigin" }));
或者,你也可以直接用 frameguard:
const frameguard = require('frameguard')app.use(frameguard({ action: 'sameorigin' }))
加之后通过浏览器观察:
验证网站是否设置了X-Frame-Options
将如下的代码中iframe中的链接换成待测网站的,保存为.html文件,本地打开。如果打开的页面中显示了待测的网站,则说明没有设置,反之设置了。
<!DOCTYPE html>
<html>
<head lang="en">
<meta charset="UTF-8" >
<title>X-Frame-Options劫持测试</title>
</head>
<body>
<iframe src="http://www.click.com/" width="500" height="500" frameborder="10"> </iframe>
</body>
</html>
验证截图,加之后通过浏览器观察:
