不容小视的漏洞——ClickJacking

 除了XSS和CSRF之外,还有一个被称为ClickJacking的web安全漏洞常常被大家遗忘,但绝对不能忽略。

是一种视觉欺骗手段,在web端就是iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。

由于点击劫持的出现,便出现了反frame嵌套的方式,因为点击劫持需要iframe嵌套页面来攻击。

解决方法:配置过滤器

  首先,将ClickjackFilter.jar添加到lib目录下。

       然后,打开webapps\ROOT\WEB-INF\web.xml添加以下过滤器:



ClickjackFilterDeny

org.owasp.filters.ClickjackFilter



mode

DENY







ClickjackFilterDeny

/*



重启tomcat服务即可解决。

你可能感兴趣的:(渗透测试)