支持控制台(Console)开发人员开始试用联系人

16.5. 点jacking

点jacking 是用户点击用户界面元素与感应不同的用户的技术。恶意站点会在一个透明的 iFrame 中载入目标站点,覆盖一组虚拟按钮,直接放置在目标站点上的重要按钮下。当用户点击可见按钮时,会单击隐藏页面中的按钮。攻击者可以利用这个方法获取用户的身份验证凭证并访问其资源。

默认情况下,Red Hat Single Sign-On 的每个响应都会设置一些特定的浏览器标头,以防止发生这种情况。特别是,它会设置 X-FRAME_OPTIONSContent-Security-Policy。您应该了解这两个标头的定义,因为您可以控制大量精细的浏览器访问权限。

流程

在 Admin 控制台中,您可以指定 X-FRAME_OPTIONS 和 Content-Security-Policy 标头的值。

  1. Realm Settings 菜单项。

  2. Security Defenses 选项卡。

    安全防御

    Security Defences

默认情况下,Red Hat Single Sign-On 只为 iframes 设置 相同的 原始策略。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.