> 웹 프론트엔드 > H5 튜토리얼 > 인터페이스 조작 하이재킹 및 HTML5 보안에 대한 자세한 그래픽 설명

인터페이스 조작 하이재킹 및 HTML5 보안에 대한 자세한 그래픽 설명

黄舟
풀어 주다: 2017-04-24 10:46:07
원래의
2899명이 탐색했습니다.

1. 인터페이스 조작 하이재킹

1) 클릭재킹

클릭재킹은 일종의 시각적 속임수입니다.

공격자는 투명하고 보이지 않는 if프레임을 이용해 웹 페이지의 특정 위치를 가리고 사용자가 iframe을 클릭하도록 유도합니다.

2) TapJacking

모바일 기기의 사용이 점점 더 늘어나고 있습니다. 모바일 기기의 특성을 반영하여 TapJacking(터치스크린 하이재킹)이 파생됩니다.

휴대폰의 화면 범위는 제한되어 있습니다. 공간을 절약하기 위해 모바일 브라우저는 주소 표시줄을 숨겨 휴대폰에서 시각적인 속임수를 더 쉽게 구현할 수 있습니다.

3) HTTP 헤더에 응답 헤더 X-Frame-Options

가 있으며 선택할 수 있는 세 가지 값이 있습니다.

1 . 거부: 이 페이지

에서는 가 iframe 페이지를 로드하는 것을 허용하지 않습니다.

2. SAMEORIGIN: 이 페이지는

동일한 도메인 이름을 가진 iframe 페이지를 로드할 수 있습니다.

3. ALLOW-FROM uri: 이 페이지는

지정된 소스에서 iframe 페이지를 로드할 수 있습니다.

2. HTML5 보안

HTML5에는 에 새로운 태그와 속성

이 추가되어 XSS 등 웹 공격에 새로운 변화를 가져왔습니다. . 이러한 변경 사항은

HTML5 보안 요약본

에 요약되어 있습니다. 1) 숨은 URL 악성코드

반영된 XSS에서는 URL 매개변수에 악성코드가 작성되며, 이 경우 사용자는 다음 링크와 같은 악성 코드도 볼 수 있습니다.

http://www.csrf.net/csrf.html?id=<script>111</script>
로그인 후 복사
window.history를 통해 브라우저 기록

을 조작할 수 있습니다.

pushState()에는 StateObject

, 제목 및 선택적 URL 주소의 세 가지 매개 변수가 있습니다.

history.pushState({},"", location.href.split(&#39;?&#39;).shift());
로그인 후 복사
위 코드를 실행하면 매개변수가 숨겨집니다.

새 URL 주소는 다음과 같습니다.

인터페이스 조작 하이재킹 및 HTML5 보안에 대한 자세한 그래픽 설명

브라우저 기록

. 인터페이스 조작 하이재킹 및 HTML5 보안에 대한 자세한 그래픽 설명<div class=

for(i=0; i<10; i++)
    history.pushState({},"", "/"+i+".html");
로그인 후 복사

2) HTML5 하의 Botnet

인터페이스 조작 하이재킹 및 HTML5 보안에 대한 자세한 그래픽 설명</p>Botnet은 다수의 특정 악성 프로그램을 의미합니다. 컴퓨터에 이식되어 컨트롤러가 여러 대의 컴퓨터를 통해 다른 컴퓨터에 직접 명령을 보내 네트워크 공격을 수행할 수 있도록 합니다. <p><span   style= 웹 프런트 엔드 기반 봇넷은

Web Worker 기술

인터페이스 조작 하이재킹 및 HTML5 보안에 대한 자세한 그래픽 설명을 포함하는 DDOS 공격으로 사용될 수 있습니다. </p>CORS 처리 메커니즘<p><span   style= 이후 웹 웜을 통해 확산됩니다. Web Worker는 브라우저에서 사용자의 정상적인 작동에 영향을 주지 않고 악성 JS 코드를 비동기적으로 실행할 수 있는 멀티 스레드 메커니즘입니다. CORS 처리 메커니즘은 브라우저 수준에서 작동합니다. 서버가 크로스 사이트를 허용하지 않으면 브라우저는 서버가 반환한 결과를 가로챕니다. 즉, 서버가 크로스 도메인 요청에 정상적으로 응답한다는 의미입니다. .

那么就可以事先写好一段异步请求的脚本(worker.js),然后通过Web Worker来执行这段脚本,不断的向目标服务器发起请求。

var worker_loc = &#39;worker.js&#39;;//封装了ajax请求的脚本
var target = &#39; 
//可实例化多个
Web Workervar workers = [];for (i = 0; i < 1; i++) {
      workers[i] = new Worker(worker_loc);
      workers[i].postMessage(target);//跨域消息传递}
로그인 후 복사

위 내용은 인터페이스 조작 하이재킹 및 HTML5 보안에 대한 자세한 그래픽 설명의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 추천
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿