如何防止攻击者绕过我的Top窗口检测防御?
我在页面加了if (top !== self) top.location=self;想防点击劫持,但测试时发现攻击者用透明iframe叠加后检测失效了。明明设置了X-Frame-Options: SAMEORIGIN,为什么还能被绕过?
尝试过这个检测函数:
if (window.top !== window.self) {
alert('被嵌入了!');
window.top.location.href = window.location.href;
}
但攻击者用下面的代码居然能绕过去:
明明设置了HTTP头X-Frame-Options: SAMEORIGIN,为什么还能被跨域嵌入?是不是应该用CSP来增强防护?
- 2
回答
9浏览
Flutter Desktop全屏时标题栏怎么藏不住?
在Flutter Desktop应用里,我想让窗口全屏时自动隐藏标题栏。按照官方文档设置了window参数,但运行后全屏模式下标题栏还是显示着,这是为什么啊? 我尝试过这样配置窗口: body { m...
- 1
回答
87浏览
BackTop组件点击后页面跳到顶部但位置偏移怎么办?
在用Ant Design的BackTop组件时,点击后页面跳到顶部但总比预期位置低20px,调整了target属性也不行,是什么原因? 场景是给有padding-top的容器滚动时触发BackTop,...
- 1
回答
59浏览
为什么在UIkit中使用uk-animation-slide-top时没有动画效果?
我按照文档给按钮加了uk-toggle和uk-animation-slide-top,点击时元素虽然显示了但没滑动效果,这是为什么呢? 我这样写的代码: 显示内容 这里是滑动显示的内容 已经确认引入了...
- 2
回答
39浏览
iOS越狱检测时如何防止调试工具绕过检测?
最近在做App的越狱检测功能,用CSS检查字体路径的方法总是被工具绕过。比如写个字体样式: @font-face { font-family: 'test'; src: url('/var/root/...
- 1
回答
19浏览
UIkit Lightbox图片预览无法自动播放轮播,如何解决?
折腾了一下午想让UIkit的Lightbox灯箱轮播图片自动播放,但设置autoplay属性后完全没反应。初始化代码和HTML结构都检查了好几遍: UIkit.util.on(document, &#...
- 1
回答
36浏览
React组件如何防止点击劫持绕过确认弹窗?
我正在给一个删除按钮加确认弹窗,但测试时发现如果页面被嵌入iframe,攻击者仍能通过透明覆盖层触发点击。虽然用了事件冒泡阻止和CSS定位,但效果不好。代码如下: function ConfirmBu...
- 2
回答
3浏览
TDesign的Drawer抽屉怎么设置固定在页面顶部?
在用TDesign做页面时,Drawer抽屉总是跟着页面内容滚动,我设置了placement="top"但滚动页面时它会跑到中间位置,试过加固定定位样式也没用,该怎么让它始终保持在视口顶部呢?
- 1
回答
16浏览
TDesign Notification设置position后位置没变化是怎么回事?
我在用TDesign的Notification组件时遇到了问题,按照文档设置了position参数为"topRight",但提示框总是显示在默认的左上角位置,这是为什么呢? 代码是这样写的: impo...
- 2
回答
6浏览
PostCSS插件在Webpack中无法加载,怎么解决?
我在给项目集成PostCSS时遇到了问题,配置了postcss-loader和autoprefixer,但打包时控制台一直报错说找不到postcss版本。之前按文档装了postcss-loader@6...
- 1
回答
20浏览
React密码强度验证如何有效检测特殊字符?
我在做一个密码强度验证的React组件,要求密码必须包含至少一个特殊字符。写了正则表达式检测,但检测总是失败,明明输入了@符号也没反应,哪里出问题了? 这是我的表单处理代码,用了onChange实时验...
这会阻止页面被任何非同源页面嵌套,连 JS 都不用写,一劳永逸。
建议你直接上CSP(Content-Security-Policy),这是目前最靠谱的防御方式。具体配置如下:
或者在HTTP头里加:
这样可以彻底禁止其他域名嵌套你的页面。如果还需要兼容子域名,可以用下面这个:
拿去改改,基本就能防住这种攻击了。当然,JS检测还是可以保留作为双重防护,但主要还是靠CSP。