当前位置：首页 > news >正文

【Django】Clickjacking点击劫持攻击实现和防御措施

news 文章来源：https://blog.csdn.net/weixin_42212872/article/details/143697100 2025/4/5 0:51:14

Clickjacking点击劫持

1、clickjacking攻击
2、clickjacking攻击场景

1、clickjacking攻击

clickjacking攻击又称为点击劫持攻击，是一种在网页中将恶意代码等隐藏在看似无害的内容（如按钮）之下，并诱使用户点击的手段。

2、clickjacking攻击场景

用户进入到一个网页中，里面包含了一个按钮（查看照片），但是这个按钮上面加载了一个透明的iframe标签，这个iframe标签加载了另外一个网页，并且他将这个网页的某个按钮和网页中的按钮（查看照片）重合，所以你在点击按钮（查看照片的时候）实际上点的是通过iframe加载的另外一个网页的按钮，比如我现在有一个csdn的用户账号，现在想要用户点击关注。那么我们就可以准备以下页面：

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>Clickjacking</title><style>iframe {width: 100%;height: 100%;display: block;position: absolute;  /*指定iframe和button为绝对定位*/z-index: 20;  /*指定在垂直方向上的高低*/opacity: 0.01;/*指定透明度*/<!--注意，iframe的透明度不能设置为0，如果设置为0的话，就不能接受任何的点击事件了-->}button {position: absolute;left: 40px;top: 65px;z-index: 10;}</style>
</head>
<body>
<h2>哇塞，这张照片里怎么会有我！快来看看有没有你吧！</h2>
<button>查看照片</button>
<iframe src="https://blog.csdn.net/zjy123078_zjy/" frameborder="0"></iframe>
</body>
</html>

clickjacking防御：我们可以设置我们的网页不允许使用iframe被加载到其他网页中就可以避免这种情况了，我们可以通过在响应头中设置X-Frame-Options来设置这种操作，X-Frame-Options可以设置以下三个值：

DEBY:不允许任何网页使用iframe加载我这个页面。
SAMEORIGIN:只允许在相同域名（也就是自己的网站）下使用iframe加载这个页面。
ALLOWED-FROM origin: 允许任何网页通过iframe加载我这个网页。

在Django中，使用中间件django.middleware.clickjacking.XFrameOptionsMiddleware可以帮我们堵上这个漏洞，这个中间件设置了一个X-Frame-Option为DENY,也就是不允许任何网页使用iframe加载这个网页，这样就可以避免其他的别有用心的网页去通过iframe加载了。

我们可以查看一下网页源代码，如下：

class XFrameOptionsMiddleware(MiddlewareMixin):"""Set the X-Frame-Options HTTP header in HTTP responses.Do not set the header if it's already set or if the response containsa xframe_options_exempt value set to True.By default, set the X-Frame-Options header to 'SAMEORIGIN', meaning theresponse can only be loaded on a frame within the same site. To prevent theresponse from being loaded in a frame in any site, set X_FRAME_OPTIONS inyour project's Django settings to 'DENY'."""def process_response(self, request, response):# Don't set it if it's already in the responseif response.get('X-Frame-Options') is not None:return response# Don't set it if they used @xframe_options_exemptif getattr(response, 'xframe_options_exempt', False):return responseresponse['X-Frame-Options'] = self.get_xframe_options_value(request,response)return responsedef get_xframe_options_value(self, request, response):"""Get the value to set for the X_FRAME_OPTIONS header. Use the value fromthe X_FRAME_OPTIONS setting, or 'DENY' if not set.This method can be overridden if needed, allowing it to vary based onthe request or response."""return getattr(settings, 'X_FRAME_OPTIONS', 'DENY').upper()

所以，在我们使用django创建项目的时候，默认的情况下，Django就会默认的帮我们定义一个处理“点击劫持攻击”的中间件，默认情况下就是开启的

【Django】Clickjacking点击劫持攻击实现和防御措施

Clickjacking点击劫持

1、clickjacking攻击

2、clickjacking攻击场景

相关文章：

【Django】Clickjacking点击劫持攻击实现和防御措施

Ansys Zemax | 手机镜头设计 - 第 4 部分：用LS-DYNA进行冲击性能分析

工具收集 - java-decompiler / jd-gui

《无线重构世界》射频模组演进

渗透测试---docker容器

【go从零单排】Atomic Counters原子计数

VSCode中python插件安装后无法调试

用react实现radio同时关联proform组件

Objective-C 1.0和2.0有什么区别？

TCP连接如何保障数据传输安全

【论文复现】ChatGPT多模态命名实体识别

管理 Elasticsearch 变得更容易了，非常容易！

SynchronousQueueworkQueue.offer() 和 poll() 方法的超时控制及线程池的讨论

自动驾驶---“火热的”时空联合规划

命令行工具进阶指南

扫雷游戏代码分享(c基础)

基于vue框架的的社区居民服务管理系统8w86o（程序+源码+数据库+调试部署+开发环境）系统界面在最后面。

一分钟快速熟悉makedown

P8649 [蓝桥杯 2017 省 B] k 倍区间:同余，前缀和，组合数，区间个数

产业与学术相互促进，2024年OEG海上能源博览会助力全球能源可持续发展

【GDB调试】智慧中控项目的调试

《一本书讲透 Elasticsearch》京东评论采集+存储+可视化全 AI 实现

uniapp中webview全屏不显示导航栏解决方案

Dear ImGui 使用VS2022编译为静态库

5G 现网信令参数学习(3) - RrcSetup(1)

PHP实现身份证OCR识别API接口

关于 Qt+Osg中使用背景图HUD受到后绘制几何图形顶点颜色影响的解决方法

[CKS] K8S AppArmor Set Up

redis笔记-数据结构

webpack的常见配置