除了XSS和CSRF之外,還有一個被稱爲ClickJacking的web安全漏洞常常被大家遺忘,但絕對不能忽略。
是一種視覺欺騙手段,在web端就是iframe嵌套一個透明不可見的頁面,讓用戶在不知情的情況下,點擊攻擊者想要欺騙用戶點擊的位置。
由於點擊劫持的出現,便出現了反frame嵌套的方式,因爲點擊劫持需要iframe嵌套頁面來攻擊。
解決方法:配置過濾器
首先,將ClickjackFilter.jar添加到lib目錄下。
然後,打開webapps\ROOT\WEB-INF\web.xml添加以下過濾器:
<filter>
<filter-name>ClickjackFilterDeny</filter-name>
<filter-class>org.owasp.filters.ClickjackFilter</filter-class>
<init-param>
<param-name>mode</param-name>
<param-value>DENY</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>ClickjackFilterDeny</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
重啓tomcat服務即可解決。