這篇文章主要介紹界面操作劫持與HTML5安全的示例分析，文中介紹的非常詳細，具有一定的參考價值，感興趣的小伙伴們一定要看完！

網站建設哪家好，找成都創(chuàng)新互聯(lián)！專注于網頁設計、網站建設、微信開發(fā)、小程序制作、集團企業(yè)網站建設等服務項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了喀左免費建站歡迎大家使用！

一、界面操作劫持

1）ClickJacking

ClickJacking點擊劫持，這是一種視覺上的欺騙。

攻擊者使用一個透明的、不可見的iframe，覆蓋在網頁的某個位置上，誘使用戶點擊iframe。

2）TapJacking

現在移動設備的使用率越來越高，針對移動設備的特點，衍生出了TapJacking（觸屏劫持）。

手機上的屏幕范圍有限，手機瀏覽器為了節(jié)約空間，可以隱藏地址欄，手機上的視覺欺騙會更加容易實施。

1. 第一張中最上方顯示了瀏覽器地址欄，同時攻擊者在頁面中畫出了一個假的地址欄；

2. 第二張中真實的瀏覽器地址欄已經自動隱藏了，此時頁面中只剩下假的地址欄；

3. 第三張中是瀏覽器地址欄被正常隱藏的情況。

這種針對視覺效果的攻擊可以被利用進行釣魚和欺詐。

3）X-Frame-Options

針對傳統(tǒng)的界面劫持，通過禁止iframe來防范。

HTTP頭中有一個響應頭X-Frame-Options，有三個值可以選擇：

1. DENY：該頁面不允許加載任何 iframe頁面。

2. SAMEORIGIN：該頁面可以加載相同域名的 iframe頁面。

3. ALLOW-FROM uri：該頁面可以加載指定來源的 iframe頁面。

二、HTML5安全

HTML5中新增的一些標簽和屬性，使得XSS等Web攻擊產生了新的變化，在HTML5 Security Cheatsheet中總結了這些變化。

1）隱藏URL惡意代碼

反射型XSS中，會將惡意代碼寫在URL參數中，這樣的話，用戶也能看到惡意代碼，例如下面的鏈接：

http://www.csrf.net/csrf.html?id=<script>111</script>

可以通過window.history來操作瀏覽器的歷史記錄。

pushState()有三個參數：狀態(tài)對象、標題，可選的URL地址。

history.pushState({},"", location.href.split('?').shift());

執(zhí)行上面那段代碼后就會將參數隱藏。

新的URL地址就是下面這個：

“pushState”還可以偽造瀏覽器歷史記錄。

for(i=0; i<10; i++)
    history.pushState({},"", "/"+i+".html");

2）HTML5下的僵尸網絡

僵尸網絡（Botnet）是指在大量的計算機中植入特定的惡意程序，使控制者能夠通過若干計算機直接向其他計算機發(fā)送指令，進行網絡攻擊。

基于Web前端的僵尸網絡可以用作DDOS攻擊，這里涉及Web Worker技術和CORS處理機制，再通過Web蠕蟲傳播。

Web Worker是一種多線程機制，可以異步執(zhí)行惡意JS代碼，而不影響用戶在瀏覽器中的正常操作。

CORS處理機制工作在瀏覽器層面，如果服務器不允許跨站，瀏覽器將攔截服務器返回的結果，也就是說跨域請求，服務器也會正常響應。

那么就可以事先寫好一段異步請求的腳本（worker.js），然后通過Web Worker來執(zhí)行這段腳本，不斷的向目標服務器發(fā)起請求。

var worker_loc = 'worker.js';//封裝了ajax請求的腳本
var target = ' 
//可實例化多個
Web Workervar workers = [];for (i = 0; i < 1; i++) {
      workers[i] = new Worker(worker_loc);
      workers[i].postMessage(target);//跨域消息傳遞}

以上是“界面操作劫持與HTML5安全的示例分析”這篇文章的所有內容，感謝各位的閱讀！希望分享的內容對大家有幫助，更多相關知識，歡迎關注創(chuàng)新互聯(lián)成都網站設計公司行業(yè)資訊頻道！

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

網站名稱：界面操作劫持與HTML5安全的示例分析-創(chuàng)新互聯(lián)
鏈接分享：http://jinyejixie.com/article0/diosoo.html

成都網站建設公司_創(chuàng)新互聯(lián)，為您提供微信小程序、品牌網站建設、企業(yè)網站制作、云服務器、響應式網站、靜態(tài)網站

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)