ホームページ >ウェブフロントエンド >H5 チュートリアル >インターフェイス操作のハイジャックと HTML5 セキュリティの詳細な図解説明
1) クリックジャッキング
クリックジャッキングは視覚的な欺瞞の一種です。
攻撃者は、透明で目に見えない iframe を使用して Web ページ上の特定の場所を覆い、ユーザーに iframe をクリックするように誘導します。
2) TapJacking
現在、モバイルデバイスの使用率はますます高くなっており、その特性に応じてTapJacking(タッチスクリーンハイジャック)が派生しています。
携帯電話の画面範囲は限られており、スペースを節約するために、モバイルブラウザはアドレスバーを非表示にすることができ、携帯電話での視覚的な欺瞞を簡単に実装できます。
1. 最初の画像ではブラウザのアドレス バーが上部に表示されており、攻撃者はページ上に偽のアドレス バーを描画しています。2 番目の画像では、実際のブラウザのアドレス バーが表示されています。自動的に非表示になり、偽のアドレス バーのみがページに残ります 3. 3 番目の写真は、ブラウザのアドレス バーが通常は非表示になっている状況を示しています。 この視覚に焦点を当てた攻撃は、フィッシングや詐欺に悪用される可能性があります。3) X-Frame-Options 従来のインターフェイスハイジャックの場合は、iframe を無効にして iframe を防止します。
HTTP ヘッダーには応答ヘッダー X-Frame-Optionsがあり、次の 3 つの値から選択できます: 1: このページ
は iframe ページをロードできません。 。2. SAMEORIGIN: このページは同じドメイン名の iframe ページを読み込むことができます。
3. ALLOW-FROM uri: このページは、指定されたソースから iframe ページをロードできます。
2. HTML5 セキュリティHTML5 に追加されたいくつかの新しいタグと 属性は、XSS などの Web 攻撃に新たな変化をもたらしました。これらの変更は、
にまとめられています。 1) URL の悪意のあるコードを隠す
反映された XSS では、悪意のあるコードが URL パラメータに書き込まれるため、ユーザーは次のリンクのような悪意のあるコードも見ることができます: http://www.csrf.net/csrf.html?id=<script>111</script>
window.history を通じてブラウザ履歴を操作できます。
pushState() には、stateobject、タイトル、およびオプションの URL アドレスの 3 つのパラメーターがあります。
history.pushState({},"", location.href.split('?').shift());
上記のコードを実行すると、パラメーターは非表示になります。
新しい URL アドレスは次のとおりです:
「pushState」は、
ブラウザ履歴を偽装することもできます。for(i=0; i<10; i++) history.pushState({},"", "/"+i+".html");
2) HTML5 でのボットネット
ボットネット (ボットネット) とは、特定の悪意のあるプログラムを多数のコンピューターに埋め込み、コントローラーが複数のコンピューターの指示を通じて悪意のあるプログラムを他のコンピューターに直接送信できるようにすることを指します。サイバー攻撃を行う。 Web フロントエンドに基づく
ボットネットは、
Web Worker テクノロジー とCORS 処理メカニズム
を含む DDOS 攻撃として使用され、Web ワームを介して拡散する可能性があります。 Web Worker は、ブラウザでのユーザーの通常の操作に影響を与えることなく、悪意のある JS コードを非同期的に実行できるマルチスレッド メカニズムです。 CORS 処理メカニズムはブラウザー レベルで機能します。サーバーがクロスサイトを許可しない場合、ブラウザーはサーバーから返された結果をインターセプトします。これは、サーバーがクロスドメイン リクエストに通常どおり応答することを意味します。 那么就可以事先写好一段异步请求的脚本(worker.js),然后通过Web Worker来执行这段脚本,不断的向目标服务器发起请求。var worker_loc = 'worker.js';//封装了ajax请求的脚本
var target = '
//可实例化多个
Web Workervar workers = [];for (i = 0; i < 1; i++) {
workers[i] = new Worker(worker_loc);
workers[i].postMessage(target);//跨域消息传递}
以上がインターフェイス操作のハイジャックと HTML5 セキュリティの詳細な図解説明の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。