支持控制台(Console)开发人员开始试用联系人

16.6. 点jacking

单击jacking 是一种欺骗用户点击与用户感知不同的用户界面元素的技术。恶意站点在透明的 iFrame 上加载目标站点,覆盖一组直接放置在目标站点的重要按钮的 dummy 按钮之上。当用户点击可见的按钮时,他们会在隐藏页面中点击按钮。攻击者可以窃取用户的身份验证凭据,并使用此方法访问其资源。

默认情况下,红帽构建的 Keycloak 的每个响应都会设置一些阻止这个问题的特定 HTTP 标头。具体来说,它设置 X-Frame-OptionsContent-Security-Policy。您应该查看这两个标头的定义,因为您可以控制很多精细的浏览器访问。

流程

在 Admin 控制台中,您可以指定 X-Frame-Options 和 Content-Security-Policy 标头的值。

  1. 单击 Realm Settings 菜单项。

  2. Security Defenses 选项卡。

    安全国防

    Security Defenses

默认情况下,红帽构建的 Keycloak 仅为 iframes 设置相同 的原始策略。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.