Как распространяется Clickjacking, в условиях непрофессионала?

Question

Я читал много о iframes и clickjacking, и не смог найти информацию, которую я ищу. Можете ли вы помочь мне с вопросами ниже?

Как распространяется разметка Iframe? Я видел много статей, в которых упоминается редактирование html-кода на локальной машине, и тем же самым они могут захватывать пользователей, добавляя невидимую кнопку. Но это модифицированная логика на локальной машине пользователя. Мне интересно знать, можно ли подтолкнуть этот же код к облаку и повлиять на то, что каждый пользователь регистрируется или использует этот портал? Если да, то как?

Если я включил опцию Iframe на моем веб-сайте, это будет угроза безопасности, потому что моя страница может быть загружена как iframe на чужой веб-сайт, и они могут злоупотреблять им. И если есть защищенные данные, если конечный пользователь случайно попадает на этот сайт, данные взломаются. Это проблема безопасности, поэтому всегда рекомендуется не разрешать iframe, это правильно? Есть ли другой риск для безопасности.

Пожалуйста, добавьте, если есть другие риски.

Answer 1

Clickjacking не распространяется.

Это буквально, как указано, - щелканье щелчков - ничего более. Однако последствия этих кликов могут быть серьезными.

Представьте, что вы заходите на сайт, evil.example.org. В другой вкладке вы также вошли в свой банк, bank.example.com.

evil.example.org также загружает bank.example.com в IFrame. Однако он использует CSS, чтобы сделать этот IFrame невидимым. И это не загружает домашнюю страницу, он загружает страницу перевода денег, передавая некоторые параметры:

<iframe src="https://bank.example.com/loggedIn/transferMoney?toAccount=Bob&amount=100000"></iframe> 

Теперь эта страница не передает деньги сразу. Он просит пользователя нажать, чтобы подтвердить передачу Бобу.

Однако evil.example.org рисует кнопку прямо под Confirm Transfer кнопки говоря Free IPad нажмите здесь.

Поскольку IFrame является невидимым, пользователь видит только Бесплатно iPad Нажмите здесь. Но когда они нажимают, браузер регистрирует клик на Подтверждение перевода.

Поскольку вы зашли на сайт банка на другой вкладке, Боб только что побил ваши деньги.

Обратите внимание, что заголовок X-Frame-Options устраняет эту уязвимость на вашем сайте при условии, что она установлена ​​в SAMEORIGIN или DENY. Вы уязвимы, пока не найдете заголовок. В CSP есть новая директива, называемая frame ancestors. Однако только последние браузеры поддерживают ее, поэтому вам лучше всего добавить оба заголовка на данный момент. Это даст вам защиту в Internet Explorer 8 и более поздних версиях, а также Chrome, Firefox, Opera и Safari.

Предотвращение кадрирования также может помочь предотвратить атаки, такие как Cross Site History Manipulation.