Ich habe eine dynamische Website, in der ich sicher von Clickjacking-Angriff machen muss. In der Datenbank, die diese Art von Werten während des Suchens erhält, wusste ich wenig mehr über Clickjacking, aber genau, was nicht so wird, bitte, jeder, der weiß, hilft mir aus.Wie verhindert man unsere Website durch Clickjacking in ASP.NET C#?
Antwort
Versuchen Best-for-now Legacy Browser Frame Breaking Script
Eine Möglichkeit, gegen Clickjacking zu verteidigen, ist ein „Frame-breaker“ Skript in jeder Seite enthalten, die nicht gerahmt werden sollte. Die folgende Methode verhindert, dass eine Webseite auch in älteren Browsern gerahmt wird, die den X-Frame-Options-Header nicht unterstützen.
In dem Dokument HEAD-Elemente, fügen Sie folgende:
zunächst eine ID an das Stilelement selbst gelten:
<style id="antiClickjack">body{display:none !important;}</style>
Und dann diesen Stil durch seine ID löscht unmittelbar nach dem im Skript:
<script type="text/javascript">
if (self === top) {
var antiClickjack = document.getElementById("antiClickjack");
antiClickjack.parentNode.removeChild(antiClickjack);
} else {
top.location = self.location;
}
</script>
Sie könnten auch X-Frame-Option in die Web.config hinzufügen, oder verwenden Sie die Art, wie Musakkhir vorgeschlagen. – funkyCatz
X-FRAME-Optionen
Fügen Sie diesen Code in der Datei global.asax hinzu.
protected void Application_BeginRequest(object sender, EventArgs e)
{
HttpContext.Current.Response.AddHeader("x-frame-options", "DENY");
}
ODER
einfach diese Datei
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="DENY" />
</customHeaders>
</httpProtocol>
zu <system.webServer>
in Ihrem Web.Config hinzufügen Dieses kleine Schnipsel fügt ein HTTP-Header namens X-Frame-Optionen zu Ihrem http Antworten und verhindert, dass Ihre Website in einem iframe in "modernen" Browsern geladen wird.
Es gibt drei Werte möglich X-Frame-Options:
- DENY: Sie keine Website zulassen Ihre Anwendung
- SAMEORIGIN einzurahmen: nur erlauben gleiche Applikationsstelle einzurahmen
- allow-FROM: nur bestimmte Domain erlauben, Ihre Anwendung zu gestalten
Definitiv ist die beste Option in der Konfiguration (y) – DanielV
x-frame-options ist veraltet und sollte durch content-security-policy ersetzt werden (https://developer.mozilla.org/en-US/docs/Web/HTTP/ Header/Inhaltssicherheitsrichtlinie). Es scheint, dass DENY immer noch gut in den meisten Browsern funktioniert, aber ALLOW-FROM ist problematisch. – HotN
- 1. Wie verhindert man, dass Hacker unsere Datenbank scrappen?
- 2. Wie verhindert man Pufferüberlauf in C/C++?
- 3. Wie blockieren Sie unsere Website in Pakistan?
- 4. Wie unsere eigene Schrift auf unserer Website
- 5. Wie verhindert man mehrere Definitionen in C?
- 6. Wie verhindert man mehrere Logins in PHP-Website
- 7. Kann verhindert werden, dass unsere Website innerhalb des Frame-Sets oder IFrame einer anderen Domain läuft?
- 8. Wie verhindert man einen Stacküberlauf durch Überwachung der Stackgröße?
- 9. MVC Website - Wie man den Zugriff auf statische Dateien verhindert
- 10. Wie verhindert man HTTP-Spoofing?
- 11. Wie verhindert man eine Unschärfe durch CSS-Transformation?
- 12. Wie kann ich verhindern, dass unsere Webseite ausfällt?
- 13. Asp.Net MVC - ValidationMessage() - Wie verhindert man HTML-Escaping?
- 14. Wie verhindert man, dass Ihre Klasse in C++ vererbt wird?
- 15. Wie verhindert man "Überprüfungen" in einem Testfall? (C#/nUnit)
- 16. Wie verhindert man, dass gcc einige Anweisungen in C optimiert?
- 17. Wie serialisiert man ein Objekt in C# und verhindert Manipulationen?
- 18. Wie verhindert man, dass Konstruktor Argumenttypen in C++ wirft?
- 19. Wie verhindert man ListBox.SelectedIndexChanged Ereignis?
- 20. Kreditkarte Verarbeitung durch asp.net C#
- 21. Wie verhindert man, dass EF eine Datenbank erstellt?
- 22. Wie verhindert man AspNetUsers Tabelle SQL Injection Attack?
- 23. Wie kann DoS-Angriff in ASP.NET MVC-Anwendungen verhindert werden?
- 24. Wie verhindert man doppelte Veröffentlichung auf Facebook?
- 25. um zu https zu wechseln durch http - safari zeigt unsere website nicht richtig an
- 26. ASP.NET 2.0 Website erhält ThreadAbortException
- 27. News-Plugin für ASP.NET-Website
- 28. Wie verhindert man einen Kurzschluss?
- 29. Saxon in ASP.Net-Website
- 30. wie verhindert man apikey-diebstahl?
Thomas ist tha t die einzige Möglichkeit, vor einem Clickjacking-Angriff zu schützen. Einfach durch Hinzufügen der globalen Asax-Datei und des Codes. – shashank