Ho un sito Web dinamico in cui devo fare un attacco sicuro da clickjacking. Nel database ottenendo questo tipo di valori durante la ricerca, sapevo poco di più sul clickjacking, ma è esattamente ciò che non lo è. Per favore, chiunque sappia mi aiuti.Come impedire il nostro sito web tramite Clickjacking in ASP.NET C#?
risposta
Prova Best-for-now Legacy Browser Frame Breaking Script
Un modo per difendersi da clickjacking è quello di includere uno script di "frame-breaker" in ogni pagina che non deve essere inquadrata. La seguente metodologia impedirà che una pagina Web venga inquadrata anche nei browser legacy, che non supportano l'X-Frame-Options-Header.
Nel elemento del documento HEAD, aggiungere il seguente:
Prima applicare un ID per l'elemento dello stile stesso:
<style id="antiClickjack">body{display:none !important;}</style>
e quindi eliminare quello stile con il suo ID immediatamente dopo nello script:
<script type="text/javascript">
if (self === top) {
var antiClickjack = document.getElementById("antiClickjack");
antiClickjack.parentNode.removeChild(antiClickjack);
} else {
top.location = self.location;
}
</script>
È anche possibile aggiungere l'opzione X-Frame in Web.config o utilizzare il modo suggerito da Musakkhir. – funkyCatz
X-Frame-Options
Aggiungere questo codice nel file global.asax.
protected void Application_BeginRequest(object sender, EventArgs e)
{
HttpContext.Current.Response.AddHeader("x-frame-options", "DENY");
}
O
semplicemente aggiungere questo al <system.webServer>
nel vostro Web.Config file di
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="DENY" />
</customHeaders>
</httpProtocol>
Questo piccolo estratto aggiunge un'intestazione HTTP chiamati X-Frame-opzioni a vostra http risposte e impedisce che il tuo sito venga caricato in un iframe in browser "moderni".
Ci sono 3 possibili valori di X-Frame-Options:
- DENY: non consentire ad alcun sito per inquadrare la vostra applicazione
- SAMEORIGIN: solo consentire allo stesso sito di applicazione per inquadrare
- ALLOW-FROM: consente solo il dominio specifico per il frame dell'applicazione
Sicuramente l'opzione migliore è in configurazione (y) – DanielV
x-frame-options è deprecata e deve essere sostituita con content-security-policy (https://developer.mozilla.org/en-US/docs/Web/HTTP/ intestazioni/Content-Security-politica). Sembra che DENY funzioni ancora bene nella maggior parte dei browser, ma ALLOW-FROM è problematico. – HotN
- 1. Come usare il nostro carattere personalizzato sul nostro sito web
- 2. Comic Sans sul nostro sito web
- 3. Come compilare il sito Web x64 asp.net?
- 4. Accesso al sito Web tramite C#
- 5. Sito Web secondario in IIS - ASP.NET
- 6. Come connettersi al database locale tramite il sito web?
- 7. Implementazione di un sito Web multilingue tramite ASP.Net
- 8. C# password TextBox in un sito Web ASP.net
- 9. Miniprofiler per sito Web ASP.NET
- 10. come contare il numero di visitatori per il sito web in asp.net C#
- 11. Come ottenere il valore del cookie nel sito Web asp.net
- 12. Come distribuire/pubblicare un sito Web ASP.NET?
- 13. Sito Web di prova ASP.NET
- 14. Attacco al sito Web ASP.NET: come rispondere?
- 15. Autenticazione per il sito Web asp.net senza utilizzare alcun database
- 16. Asp.Net: sito Web di debug in iis
- 17. Scraping un sito Web per ottenere il nome dell'elemento e l'id tramite il browser Web C#
- 18. Come impedire accessi multipli nel sito Web di PHP
- 19. Come integrare il sito Web ASP.Net Webforms con un'applicazione Web ASP.Net MVC?
- 20. Hosting di Web Form ASP.NET come sito Web Windows Azure
- 21. Blocco elenco di indirizzi IP nell'applicazione Web/sito Web ASP.NET
- 22. Autenticazione del sito Web ASP.NET con facebook
- 23. Come posso evitare che venga raschiato il mio sito asp.net?
- 24. Autenticazione cross platform tramite l'API Web ASP.NET
- 25. Protezione di Elmah nel sito Web ASP.NET
- 26. Utilizzo memoria sito Web ASP.NET abbastanza alto
- 27. Codifica di un sito Web in C?
- 28. Come eseguire lavori periodici su un sito Web ASP.NET MVC?
- 29. Creazione di DAL per sito Web ASP.NET
- 30. XSS Attack sul sito Web ASP.NET
Thomas is tha t l'unico modo per proteggere dall'attacco di clickjacking. Semplicemente aggiungendo file e codice asax globali. – shashank