コミュニティ
学ぶ
ツールライブラリ
AIツール
レジャー
検索
日本語
目次
1. インターフェース操作のハイジャック
HTML5 セキュリティ チートシート
ホームページ ウェブフロントエンド H5 チュートリアル インターフェイス操作のハイジャックと HTML5 セキュリティの詳細な図解説明

インターフェイス操作のハイジャックと HTML5 セキュリティの詳細な図解説明

黄舟
黄舟
Apr 24, 2017 am 10:46 AM

1. インターフェース操作のハイジャック

1) クリックジャッキング

クリックジャッキングは視覚的な欺瞞の一種です。

攻撃者は、透明で目に見えない iframe を使用して Web ページ上の特定の場所を覆い、ユーザーに iframe をクリックするように誘導します。

2) TapJacking

現在、モバイルデバイスの使用率はますます高くなっており、その特性に応じてTapJacking(タッチスクリーンハイジャック)が派生しています。

携帯電話の画面範囲は限られており、スペースを節約するために、モバイルブラウザはアドレスバーを非表示にすることができ、携帯電話での視覚的な欺瞞を簡単に実装できます。

1. 最初の画像ではブラウザのアドレス バーが上部に表示されており、攻撃者はページ上に偽のアドレス バーを描画しています。2 番目の画像では、実際のブラウザのアドレス バーが表示されています。自動的に非表示になり、偽のアドレス バーのみがページに残ります

3. 3 番目の写真は、ブラウザのアドレス バーが通常は非表示になっている状況を示しています。

この視覚に焦点を当てた攻撃は、フィッシングや詐欺に悪用される可能性があります。

3) X-Frame-Options 従来のインターフェイスハイジャックの場合は、iframe を無効にして iframe を防止します。

HTTP ヘッダーには応答ヘッダー

X-Frame-Options

があり、次の 3 つの値から選択できます: 1: このページ

は iframe ページをロードできません。 。

2. SAMEORIGIN: このページは同じドメイン名の iframe ページを読み込むことができます。

3. ALLOW-FROM uri: このページは、指定されたソース

から iframe ページをロードできます。

2. HTML5 セキュリティ

HTML5 に追加されたいくつかの新しいタグと 属性は、XSS などの Web 攻撃に新たな変化をもたらしました。これらの変更は、

HTML5 セキュリティ チートシート

にまとめられています。 1) URL の悪意のあるコードを隠す

反映された XSS では、悪意のあるコードが URL パラメータに書き込まれるため、ユーザーは次のリンクのような悪意のあるコードも見ることができます: 

http://www.csrf.net/csrf.html?id=<script>111</script>
ログイン後にコピー
window.history を通じてブラウザ履歴を操作できます。

pushState() には、stateobject、タイトル、およびオプションの URL アドレスの 3 つのパラメーターがあります。 

history.pushState({},"", location.href.split(&#39;?&#39;).shift());
ログイン後にコピー
上記のコードを実行すると、パラメーターは非表示になります

新しい URL アドレスは次のとおりです:

「pushState」は、

ブラウザ履歴を偽装

することもできます。 

for(i=0; i<10; i++)
    history.pushState({},"", "/"+i+".html");
ログイン後にコピー

2) HTML5 でのボットネット

ボットネット (ボットネット) とは、特定の悪意のあるプログラムを多数のコンピューターに埋め込み、コントローラーが複数のコンピューターの指示を通じて悪意のあるプログラムを他のコンピューターに直接送信できるようにすることを指します。サイバー攻撃を行う。 Web フロントエンドに基づく

ボットネットは、

Web Worker テクノロジー

CORS 処理メカニズム

を含む DDOS 攻撃として使用され、Web ワームを介して拡散する可能性があります。 Web Worker は、ブラウザでのユーザーの通常の操作に影響を与えることなく、悪意のある JS コードを非同期的に実行できるマルチスレッド メカニズムです。 CORS 処理メカニズムはブラウザー レベルで機能します。サーバーがクロスサイトを許可しない場合、ブラウザーはサーバーから返された結果をインターセプトします。これは、サーバーがクロスドメイン リクエストに通常どおり応答することを意味します。

那么就可以事先写好一段异步请求的脚本(worker.js),然后通过Web Worker来执行这段脚本,不断的向目标服务器发起请求。

var worker_loc = &#39;worker.js&#39;;//封装了ajax请求的脚本
var target = &#39; 
//可实例化多个
Web Workervar workers = [];for (i = 0; i < 1; i++) {
      workers[i] = new Worker(worker_loc);
      workers[i].postMessage(target);//跨域消息传递}
ログイン後にコピー

以上がインターフェイス操作のハイジャックと HTML5 セキュリティの詳細な図解説明の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

Video Face Swap

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

もっと見る

人気の記事

アサシンのクリードシャドウズ:シーシェルリドルソリューション
3週間前 By DDD
Windows11 KB5054979の新しいものと更新の問題を修正する方法
3週間前 By DDD
Atomfallのクレーンコントロールキーカードを見つける場所
3週間前 By DDD
<🎜>:Dead Rails-すべての課題を完了する方法
4週間前 By DDD
Atomfall Guide:アイテムの場所、クエストガイド、およびヒント
1 か月前 By DDD
もっと見る

ホットツール

メモ帳++7.3.1

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中国語版

SublimeText3 中国語版

中国語版、とても使いやすい

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

SublimeText3 Mac版

神レベルのコード編集ソフト(SublimeText3)

もっと見る

ホットトピック

Gmailメールのログイン入り口はどこですか?
7692
15
Java チュートリアル
1639
14
CakePHP チュートリアル
1393
52
Laravel チュートリアル
1287
25
PHP チュートリアル
1229
29
もっと見る
Related knowledge
H5プロジェクトの実行方法 H5プロジェクトの実行方法 Apr 06, 2025 pm 12:21 PM

H5プロジェクトを実行するには、次の手順が必要です。Webサーバー、node.js、開発ツールなどの必要なツールのインストール。開発環境の構築、プロジェクトフォルダーの作成、プロジェクトの初期化、コードの書き込み。開発サーバーを起動し、コマンドラインを使用してコマンドを実行します。ブラウザでプロジェクトをプレビューし、開発サーバーURLを入力します。プロジェクトの公開、コードの最適化、プロジェクトの展開、Webサーバーの構成のセットアップ。

H5ページの生産とはどういう意味ですか? H5ページの生産とはどういう意味ですか? Apr 06, 2025 am 07:18 AM

H5ページの制作とは、HTML5、CSS3、JavaScriptなどのテクノロジーを使用したクロスプラットフォーム互換のWebページの作成を指します。そのコアは、ブラウザの解析コード、レンダリング構造、スタイル、インタラクティブ機能にあります。一般的なテクノロジーには、アニメーションエフェクト、レスポンシブデザイン、およびデータ相互作用が含まれます。エラーを回避するには、開発者をデバッグする必要があります。パフォーマンスの最適化とベストプラクティスには、画像形式の最適化、リクエスト削減、コード仕様などが含まれ、読み込み速度とコード品質を向上させます。

H5のクリックアイコンの作成方法 H5のクリックアイコンの作成方法 Apr 06, 2025 pm 12:15 PM

H5クリックアイコンを作成する手順には、次のものがあります。画像編集ソフトウェアで正方形のソース画像の準備が含まれます。 H5エディターにインタラクティブ性を追加し、クリックイベントを設定します。アイコン全体をカバーするホットスポットを作成します。ページにジャンプしたり、アニメーションのトリガーなど、クリックイベントのアクションを設定します。 HTML、CSS、およびJavaScriptファイルとしてH5ドキュメントをエクスポートします。エクスポートされたファイルをウェブサイトまたは他のプラットフォームに展開します。

H5ページの生産に適したアプリケーションシナリオ H5ページの生産に適したアプリケーションシナリオ Apr 05, 2025 pm 11:36 PM

H5(HTML5)は、マーケティングキャンペーンページ、製品ディスプレイページ、企業プロモーションマイクロウェブサイトなどの軽量アプリケーションに適しています。その利点は、クロスプラットフォームと豊富な対話性にありますが、その制限は複雑な相互作用とアニメーション、ローカルリソースアクセス、オフライン機能にあります。

H5は何を参照していますか?コンテキストの探索 H5は何を参照していますか?コンテキストの探索 Apr 12, 2025 am 12:03 AM

H5ReferStoHtml5、apivotaltechnologyinwebdevelopment.1)html5introduceSnewelementsandapisforrich、dynamicwebapplications.2)Itupp ortsmultimediawithoutplugins、endancingurexperiencecrossdevices.3)semanticelementsimprovecontentstructurendseo.4)H5'srespo

H5ページの生産はフロントエンド開発ですか? H5ページの生産はフロントエンド開発ですか? Apr 05, 2025 pm 11:42 PM

はい、H5ページの生産は、HTML、CSS、JavaScriptなどのコアテクノロジーを含むフロントエンド開発のための重要な実装方法です。開発者は、&lt; canvas&gt;の使用など、これらのテクノロジーを巧みに組み合わせることにより、動的で強力なH5ページを構築します。グラフィックを描画するタグまたはJavaScriptを使用して相互作用の動作を制御します。

H5プログラミング言語とは何ですか? H5プログラミング言語とは何ですか? Apr 03, 2025 am 12:16 AM

H5はスタンドアロンプ​​ログラミング言語ではなく、最新のWebアプリケーションを構築するためのHTML5、CSS3、およびJavaScriptのコレクションです。 1。HTML5は、Webページの構造とコンテンツを定義し、新しいタグとAPIを提供します。 2。CSS3はスタイルとレイアウトを制御し、アニメーションなどの新しい機能を紹介します。 3. JavaScriptは動的な相互作用を実装し、DOM操作と非同期要求を通じて機能を強化します。

H5でポップアップウィンドウの作り方 H5でポップアップウィンドウの作り方 Apr 06, 2025 pm 12:12 PM

H5ポップアップウィンドウの作成手順:1。トリガー方法(クリック、時間、終了、スクロール)を決定します。 2。設計コンテンツ(タイトル、テキスト、アクションボタン); 3。SETスタイル(サイズ、色、フォント、背景); 4.コードを実装する(HTML、CSS、JavaScript); 5。テストと展開。

See all articles