点击劫持ClickJacking+HTML5

学习笔记而已 ～～～～～～～～～～～～～～～～～～～～～～～～～～

点击劫持 

是一种视觉上的欺骗手段，攻击者使用一个透明的，不可见的iframe 覆盖在一个网页上，然后诱使用户在该页面点击透明的iframe 网页，通过调整iframe页面的位置，可以诱使用户恰好点击在iframe页面的一些功能性按钮上

例子：

	
	




    you can you up!

flash 点击劫持，图片覆盖攻击  XSIO

还有可以在 手机应用上得到实习价值，   

tagjacking~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

防御： 

1）禁止跨域的iframe 来防范, frame busting

if(top.location != location){top.location = self.location;}

缺陷  js 代码写的 控制能力并不是特别强

攻陷方法为 嵌套多个 iframe 绕过

receive:

    receive msg!
    
Send me a message!
    

但是不知道为什么  win.postMessage 执行不成功  是版本问题？？

安全问题： 1)验证URL ， 2）接受消息写入的地方 要进行检查

Web Storage  非关系型 数据库，Key-Value 对组成

设置一个值： window.sessionStorage.setItem(key,value);

读取一个值： window.sessionStorage.getItem(key);

firefox 好单独实现了一个globalStorage  基于SQLite

1)session storage  关闭浏览器就失效

2)local storage    会一直存在

可以将 XSS PAYLOAD 存储在 WEB STORAGE 中，实现跨域页面攻击