16.5. 点jacking
点jacking 是用户点击用户界面元素与感应不同的用户的技术。恶意站点会在一个透明的 iFrame 中载入目标站点,覆盖一组虚拟按钮,直接放置在目标站点上的重要按钮下。当用户点击可见按钮时,会单击隐藏页面中的按钮。攻击者可以利用这个方法获取用户的身份验证凭证并访问其资源。
默认情况下,Red Hat Single Sign-On 的每个响应都会设置一些特定的 HTTP 标头,以防止发生这种情况。特别是,它会设置 X-Frame-Options 和 Content-Security-Policy。您应该了解这两个标头的定义,因为您可以控制大量精细的浏览器访问权限。
流程
在管理控制台中,您可以指定 X-Frame-Options 和 Content-Security-Policy 标头的值。
- 点 Realm Settings 菜单项。
点 Security Defenses 选项卡。
安全防御
默认情况下,Red Hat Single Sign-On 只为 iframes 设置 相同的 原始策略。
