Clickjacking太猥琐了

作者:

刚从青海回来,看到了一些Clickjacking的文章和demo,如果demo正确的话。

ClickjackingXSIO原理差不多,不过这个是弄个iframe设置为透明,然后用style控制别的元素的位置(z-index),比如伪造一个button。

这样当伪造的button漂浮在透明的iframe时候,让人点击button,实际上就是点击了iframe里的那个链接。

所以当iframe指向某个网站时候,就可以欺骗用户去点击该网站里链接,所以anti-CSRF常常使用的token也会变得无效,因为这是用户自己的行为。

所以从另外一个角度来说,XSIO也是一种clickjacking,图片同样可以设置为透明。不过XSIO所无法达到的效果就是不能得到anti-CSRF的token。

在使用clickjacking的时候要记住IE下iframe是拦截本地cookie的,所以需要使用session cookie来达到CSRF的目的。

相关日志

发表评论