15.6. 单击jacking
单击jacking 是一种欺骗用户的技术,单击与用户不同的用户界面元素。恶意站点将目标站点加载为透明 iFrame,在一组虚拟按钮之上直接放置在目标站点上的重要按钮下。当用户点击可见按钮时,它们将点击隐藏页面上的按钮。攻击者可以利用这个方法窃取用户的身份验证凭据并访问其资源。
默认情况下,红帽构建的 Keycloak 的每个响应都会设置一些特定的 HTTP 标头,这些标头可能会阻止发生这种情况。具体来说,它设置 X-Frame-Options 和 Content-Security-Policy。您应该查看这两个标头的定义,因为有许多精细的浏览器访问您可以控制。
流程
在管理门户中,您可以指定 X-Frame-Options 和 Content-Security-Policy 标头的值。
- 单击 Realm Settings 菜单项。
点 Security Defenses 选项卡。
安全国防
默认情况下,红帽构建的 Keycloak 只为 iframes 设置相同 的原始策略。
