elliotsawyer/anticlickjack

防止 SilverStripe 网站点击劫持的模板壳

维护者

详细信息

github.com/elliot-sawyer/anticlickjack

主页

源代码

问题

安装: 38

依赖项: 0

建议者: 0

安全: 0

星标: 0

关注者: 1

分支: 0

开放问题: 0

语言:方案

类型:silverstripe-vendormodule

1.0.0 2019-09-03 10:09 UTC

Requires

BSD-3-Clause db2049687c9c1dae0bd84ce7894bc760398b613b

  • elliot sawyer

securitysilverstripeowaspclickjack

This package is auto-updated.

Last update: 2024-08-29 05:32:16 UTC

README

积极对抗通过 iframe 加载您的 SilverStripe 网站的行为。当与 Security::frame_options = 'DENY' 一起使用,并且您的 web 服务器发送任何 X-Frame-Options 标头时,它作为后备选项工作。

这并非原创想法 - 这种攻击以及防止它的示例代码自 2008 年以来已经在互联网上可用[链接]。点击劫持发生在攻击者通过 iframe 加载您的网站并在攻击页面上覆盖该框架时。iframe 的不透明度可以设置为 0,并定位在他们的页面上(例如按钮)以欺骗用户点击它 - 实际上点击是通过 iframe 传递到您的网站的。

一种常见的缓解措施是将您的服务器标头设置为完全拒绝 iframe 的加载,或者仅允许来自同一域的 iframe。如果这些标头不存在,或者您的浏览器太旧或受限而无法理解它们,此 shell 作为后备选项 - 如果检测到点击劫持,宿主页将重定向到其 src 属性上定义的 URL。

安装

composer require elliotsawyer/anticlickjack

使用

请在您的标签末尾添加此内容。

<head>
  ...
  <% include AntiClickjack %>
</head>

许可证

版权所有 2019 Elliot Sawyer。在 BSD-3 许可下发布

贡献

欢迎贡献!请在此 Github 仓库中提出一些问题或创建拉取请求。

支持

需要额外帮助或只是喜欢我的工作?如果您觉得此模块帮助您解决了问题,请考虑为我买一杯咖啡或进行小额捐赠。我接受以下地址的加密货币

  • 比特币: 12gSxkqVNr9QMLQMMJdWemBaRRNPghmS3p
  • 比特币现金: 1QETPtssFRM981TGjVg74uUX8kShcA44ni
  • 莱特币: LbyhaTESx3uQvwwd9So4sGSpi4tTJLKBdz
  • 以太坊: 0x0694E0704c70D8d178dd2e9522FC59EBBEe86748