假设我的Web应用程序受到CSRF令牌的CSRF攻击保护,此外,它还使用SSL并受到XSS攻击防护。此外,出于此问题的目的,假设它仅用于最近的浏览器并且它们没有错误。我可以使用X-Frame-Options:Deny标头来防止基于帧的点击劫持,但是我没有看到它将提供什么额外的保护,因为任何基于帧的表单提交都缺少CSRF令牌。 (并且同源策略阻止攻击者的JavaScript发现CSRF令牌。)问题:
还有其他一种不基于框架的点击劫持吗? (即,是一个X-Frame-Options:拒绝完全免费点击劫持?)
在没有X-Frame-Options:拒绝标题的情况下,根据上述假设,点击劫持攻击仍有可能成功吗?
(我问的不是因为我想阻止基于帧的点击劫持,因为我确实包含了X-Frame-Options:Deny头。相反,我试图理解点击劫持攻击的范围。)
答案 0 :(得分:5)
做一些更多的研究,我想我已经回答了我自己的问题:覆盖的,透明的iframe使得网站受到攻击,正常访问。例如,它可能是一个带有按钮的页面,用于删除照片,电子邮件等。来自攻击者网站的可见页面完全是用于参加比赛的其他内容,其中的按钮位于iframe按钮的正确位置。因此,这不是CSRF的案例,因为提交的表格不是伪造的;它在各方面都是真实的,并没有被改变。
解决方案是禁止将网站加载到框架中,这就是X-Frame-Options:Deny所做的。