整合營銷服務商
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
文作者:討厭自己明明不甘平凡,卻又不好好努力.周常見
本文鏈接:https://www.cnblogs.com/you-men/p/13387316.html
不知道各位有沒有被各類XSS攻擊、點擊劫持 (ClickJacking、 frame 惡意引用等等方式騷擾過,百度聯盟被封就有這些攻擊的功勞在里面。為此一直都在搜尋相關防御辦法,至今效果都不是很好,最近發現其實各個瀏覽器本身提供了一些安全相關的響應頭,使用這些響應頭一般只需要修改服務器配置即可,不需要修改程序代碼,成本很低。至于具體的效果只能是拭目以待了,但是感覺還是有一定的效果的。
而這些HTTP響應頭在我們部署 Nginx 的時候經常會被忽略掉,個人感覺這是一個比較嚴重的“疏忽”,加上還是很有必要的,如果有條件最好是部署一個適合自己站點的X-Content-Security-Policy響應頭。
# 點擊劫持(ClickJacking)是一種視覺上的欺騙手段。大概有兩種方式,
# 一是攻擊者使用一個透明的iframe,覆蓋在一個網頁上,然后誘使用戶在該頁面上進行操作,此時用戶將在不知情的情況下點擊透明的iframe頁面;
# 二是攻擊者使用一張圖片覆蓋在網頁,遮擋網頁原有位置的含義;
X-Frame-Options HTTP 響應頭是微軟提出來的一個HTTP響應頭,主要用來給瀏覽器指示允許一個頁面可否在 <frame>, <iframe> 或者 <object> 中展現的標記。網站可以使用此功能,來確保自己網站的內容沒有被嵌到別人的網站中去,也從而避免了點擊劫持(ClickJacking{注1}) 的攻擊。
使用X-Frame-Options有三個值
# DENY
# 表示該頁面不允許在frame中展示,即使在相同域名的頁面中嵌套也不允許
# SAMEORIGIN
# 表示該頁面可以在相同域名頁面的frame中展示
# ALLOW-FROM url
# 表示該頁面可以在指定來源的frame中展示
如果設置為 DENY,不光在別人的網站 frame 嵌入時會無法加載,在同域名頁面中同樣會無法加載。另一方面,如果設置為SAMEORIGIN,那么頁面就可以在同域名頁面的 frame 中嵌套。
PS:目前發現這個HTTP響應頭會帶來的問題就是百度統計中的“熱點追蹤(頁面點擊圖)”功能會失效,這也說明百度統計的“熱點追蹤(頁面點擊圖)”使用的是 frame 嵌入引用網頁的形式,這時候大家可以使用 X-Frame-Options 的ALLOW-FROM uri來指定百度統計域名為可 frame 嵌入域名即可。具體在Nginx里可以采用如下的方式添加響應頭
# add_header X-Frame-Options:ALLOW-FROM https://tongji.baidu.com;
# add_header X-Frame-Options:SAMEORIGIN;
互聯網上的資源有各種類型,通常瀏覽器會根據響應頭的Content-Type字段來分辨它們的類型。例如:text/html代表html文檔,image/png是PNG圖片,text/css是CSS樣式文檔。然而,有些資源的Content-Type是錯的或者未定義。這時,某些瀏覽器會啟用MIME-sniffing來猜測該資源的類型,解析內容并執行。
例如,我們即使給一個html文檔指定Content-Type為text/plain,在IE8-中這個文檔依然會被當做html來解析。利用瀏覽器的這個特性,攻擊者甚至可以讓原本應該解析為圖片的請求被解析為JavaScript。在Nginx里通過下面這個響應頭可以禁用瀏覽器的類型猜測行為:
# X-Content-Type-Options HTTP 消息頭相當于一個提示標志,被服務器用來提示客戶端一定要遵循在 Content-Type 首部中對 MIME 類型 的設定,
# 而不能對其進行修改。這就禁用了客戶端的 MIME 類型嗅探行為,換句話說,也就是意味著網站管理員確定自己的設置沒有問題。
# X-Content-Type-Options響應頭的缺失使得目標URL更易遭受跨站腳本攻擊。
# add_header X-Content-Type-Options: nosniff;
這個響應頭的值只能是nosniff, 可用于IE8+和Chrome
IE的行為受X-Content-Type-Options的影響,如果Web應用沒有返回Content-Type,那么IE9、IE11將拒絕加載相關資源。
# 如果服務器發送響應頭 “X-Content-Type-Options: nosniff”,則 script 和 styleSheet
# 元素會拒絕包含錯誤的 MIME 類型的響應。這是一種安全功能,有助于防止基于 MIME 類型混淆的攻擊。
W3C 的 Content Security Policy,簡稱 CSP。顧名思義,這個規范與內容安全有關,主要是用來定義頁面可以加載哪些資源,減少 XSS 的發生。
Chrome 擴展已經引入了 CSP,通過 manifest.json 中的 content_security_policy 字段來定義。一些現代瀏覽器也支持通過響應頭來定義 CSP。下面我們主要介紹如何通過響應頭來使用 CSP,Chrome 擴展中 CSP 的使用可以參考 Chrome 官方文檔。
# HTTP 響應頭Content-Security-Policy允許站點管理者控制用戶代理能夠為指定的頁面加載哪些資源。
# 除了少數例外情況,設置的政策主要涉及指定服務器的源和腳本結束點。
# Content-Security-Policy響應頭的缺失使得目標URL更易遭受跨站腳本攻擊。
# 早期的 Chrome 是通過 X-WebKit-CSP 響應頭來支持 CSP 的,而 firefox 和 IE 則支持 X-Content-Security-Policy,
# Chrome25 和 Firefox23 開始支持標準的 Content-Security-Policy
# 要使用 CSP,只需要服務端輸出類似這樣的響應頭就行了:
Content-Security-Policy: default-src 'self'
# default-src 是 CSP 指令,多個指令之間用英文分號分割;'self' 是指令值,多個指令值用英文空格分割。目前,有這些 CSP 指令:
從上面的介紹可以看到,CSP 協議可以控制的內容非常多。而且如果不特別指定 'unsafe-inline' 時,頁面上所有 inline 樣式和腳本都不會執行;不特別指定 'unsafe-eval',頁面上不允許使用 new Function,setTimeout,eval 等方式執行動態代碼。在限制了頁面資源來源之后,被 XSS 的風險確實小不少。
當然,僅僅依靠 CSP 來防范 XSS 是遠遠不夠的,不支持全部瀏覽器是它的硬傷。不過,鑒于低廉的開發成本,加上也沒什么壞處。
一個網站接受一個HTTP的請求,然后跳轉到HTTPS,用戶可能在開始跳轉前,通過沒有加密的方式和服務器對話,比如,用戶輸入http://foo.com或者直接foo.com。這樣存在中間人攻擊潛在威脅,跳轉過程可能被惡意網站利用來直接接觸用戶信息,而不是原來的加密信息。網站通過HTTP Strict Transport Security通知瀏覽器,這個網站禁止使用HTTP方式加載,瀏覽器應該自動把所有嘗試使用HTTP的請求自動替換為HTTPS請求。
有的網站開啟了https,但為了照顧用戶的使用體驗(因為用戶總是很賴的,一般不會主動鍵入https,而是直接輸入域名, 直接輸入域名訪問,默認就是http訪問)同時也支持http訪問,當用戶http訪問的時候,就會返回給用戶一個302重定向,重定向到https的地址,然后后續的訪問都使用https傳輸,這種通信模式看起來貌似沒有問題,但細致分析,就會發現種通信模式也存在一個風險,那就是這個302重定向可能會被劫持篡改,如果被改成一個惡意的或者釣魚的https站點,然后,你懂得,一旦落入釣魚站點,數據還有安全可言嗎?
對于篡改302的攻擊,建議服務器開啟HTTP Strict Transport Security功能,這個功能的含義是:
當用戶已經安全的登錄開啟過htst功能的網站 (支持hsts功能的站點會在響應頭中插入:Strict-Transport-Security) 之后,支持htst的瀏覽器(比如chrome. firefox)會自動將這個域名加入到HSTS列表,下次即使用戶使用http訪問這個網站,支持htst功能的瀏覽器就會自動發送https請求(前提是用戶沒有清空緩存,如果清空了緩存第一次訪問還是明文,后續瀏覽器接收到服務器響應頭中的Strict-Transport-Security,就會把域名加入到hsts緩存中,然后才會在發送請求前將http內部轉換成https),而不是先發送http,然后重定向到https,這樣就能避免中途的302重定向URL被篡改。進一步提高通信的安全性。
上面是我自己的理解,下面是owasp中文站點關于hsts的描述:
HSTS的作用是強制客戶端(如瀏覽器)使用HTTPS與服務器創建連接。服務器開啟HSTS的方法是,當客戶端通過HTTPS發出請求時,在服務器返回的超文本傳輸協議響應頭中包含Strict-Transport-Security字段。非加密傳輸時設置的HSTS字段無效。比如,https://example.com/ 的響應頭含有Strict-Transport-Security: max-age=31536000; includeSubDomains。這意味著兩點:
在接下來的一年(即31536000秒)中,瀏覽器只要向example.com或其子域名發送HTTP請求時,必須采用HTTPS來發起連接。比如,用戶點擊超鏈接或在地址欄輸入 http://www.example.com/ ,瀏覽器應當自動將 http 轉寫成 https,然后直接向 https://www.example.com/ 發送請求。
在接下來的一年中,如果 example.com 服務器發送的TLS證書無效,用戶不能忽略瀏覽器警告繼續訪問網站。
HSTS可以用來抵御SSL剝離攻擊。SSL剝離攻擊是中間人攻擊的一種,由Moxie Marlinspike于2009年發明。他在當年的黑帽大會上發表的題為“New Tricks For Defeating SSL In Practice”的演講中將這種攻擊方式公開。SSL剝離的實施方法是阻止瀏覽器與服務器創建HTTPS連接。它的前提是用戶很少直接在地址欄輸入https://,用戶總是通過點擊鏈接或3xx重定向,從HTTP頁面進入HTTPS頁面。所以攻擊者可以在用戶訪問HTTP頁面時替換所有https://開頭的鏈接為http://,達到阻止HTTPS的目的。
HSTS可以很大程度上解決SSL剝離攻擊,因為只要瀏覽器曾經與服務器創建過一次安全連接,之后瀏覽器會強制使用HTTPS,即使鏈接被換成了HTTP
另外,如果中間人使用自己的自簽名證書來進行攻擊,瀏覽器會給出警告,但是許多用戶會忽略警告。HSTS解決了這一問題,一旦服務器發送了HSTS字段,用戶將不再允許忽略警告。
0×03. Strict-Transport-Security的一些不足
用戶首次訪問某網站是不受HSTS保護的。這是因為首次訪問時,瀏覽器還未收到HSTS,所以仍有可能通過明文HTTP來訪問。解決這個不足目前有兩種方案,一是瀏覽器預置HSTS域名列表,Google Chrome、Firefox、Internet Explorer和Spartan實現了這一方案。二是將HSTS信息加入到域名系統記錄中。但這需要保證DNS的安全性,也就是需要部署域名系統安全擴展。截至2014年這一方案沒有大規模部署。
由于HSTS會在一定時間后失效(有效期由max-age指定),所以瀏覽器是否強制HSTS策略取決于當前系統時間。部分操作系統經常通過網絡時間協議更新系統時間,如Ubuntu每次連接網絡時,OS X Lion每隔9分鐘會自動連接時間服務器。攻擊者可以通過偽造NTP信息,設置錯誤時間來繞過HSTS。解決方法是認證NTP信息,或者禁止NTP大幅度增減時間。比如Windows 8每7天更新一次時間,并且要求每次NTP設置的時間與當前時間不得超過15小時
顧名思義,這個響應頭是用來防范XSS的。最早我是在介紹IE8的文章里看到這個,現在主流瀏覽器都支持,并且默認都開啟了XSS保護,用這個header可以關閉它。它有幾種配置:
0:# 禁用XSS保護;
1:# 啟用XSS保護;
1; # mode=block:啟用XSS保護,并在檢查到XSS攻擊時,停止渲染頁面(例如IE8中,檢查到攻擊時,整個頁面會被一個#替換);
# HTTP X-XSS-Protection 響應頭是 Internet Explorer,Chrome 和 Safari 的一個特性,
# 當檢測到跨站腳本攻擊 (XSS)時,瀏覽器將停止加載頁面。
# X-XSS-Protection響應頭的缺失使得目標URL更易遭受跨站腳本攻擊。
# 瀏覽器提供的XSS保護機制并不完美,但是開啟后仍然可以提升攻擊難度,總之沒有特別的理由,不要關閉它。
# add_header X-Xss-Protection: 1;
# add_header X-Xss-Protection: mod=block;
使用功能了這幾個文本提到的響應頭
# x-content-type-options: nosniff
# x-frame-options: SAMEORIGIN
# x-xss-protection: 1; mode=block
# strict-transport-security: max-age=631138519
# x-frame-options: SAMEORIGIN
# x-xss-protection: 1; mode=block
# X-Frame-Options: SAMEORIGIN
# Strict-Transport-Security: max-age=14400
配置了詳細的CSP,關閉了XSS保護
elenium中元素定位正確但是操作失敗的原因無外乎以下4種:
一、頁面沒加載好解決方法:添加等待方法,如:time.sleep()
二、頁面提交需要等待給數據后臺解決方法:添加等待方法,如:time.sleep()
三、瀏覽器沒有以最大化方式打開,導致元素被隱藏,定位不到解決方法:將網頁最大化:driver.maximize_window()如果屏幕比例固定,分辨率有限,通過網頁最大化也沒辦法解決的話,可以通過執行JS方法來實現。
browser.execute_script('window.scrollBy(200,0)') #此處(200,0)為網頁偏移坐標,200為橫坐標,0為縱坐標
#window.scrollBy()為JS方法# 四、網頁中存在多個frame框架,所定位的元素不在當前frame中。所以盡管元素明明看起來是定位正確的,但是點擊無效。frame框架作用:frame對象代表一個HTML框架,frame就是一個子窗口,在里面可以加載網頁,內部子窗口進行刷新的時候,不會影響外部窗口。
對于嵌套多個frame的頁面,操作時需要層層跳轉,跳到元素所在的frame。
frame標簽有frameset、frame、iframe三種,frameset與其他普通標簽一樣,不會影響元素的定位;而frame與iframe的切換方法是一樣的。
frame 下是個獨立的HTML文件:
解決方法:可以利用selenium中的switch_to.frame()方法來實現frame之間的跳轉。
具體操作如下:
1.如何對frame進行切換?利用switch_to.frame()方法來進行切換。
1 | switch_to.frame(reference) |
reference是傳入的參數,用來定位frame,可以是id,name,tag name等。假設有下面HTML代碼:
12345678 | <html lang="en"><head> <title>FrameTest</title></head><body><iframe src="myframe.html" id="frame1" name="myframe"></iframe></body></html> |
則想要切換到上述iframe的方法有:
12345 | driver.switch_to.frame(0) #用frame的index定位,第一個是0driver.switch_to.frame("frame1") #用frame的id來定位driver.switch_to.frame("myframe") #用name來定位driver.switch_to.frame(driver.find_element_by_tag_name("iframe")) #用iframe對應的tag name來定位driver.switch_to_frame(driver.find_element_by_xpath("//iframe[contains(@src,'myframe')]")) #利用xpath來定位 |
2.如何從子frame切換回主文檔?切換到子frame后就無法再對主文檔元素進行操作了,所以要切換回主文檔。方法為:driver.switch_to.default_content()
driver.switch_to.default_content()3.多層frame如何切換?如果有多層frame要逐層進行切換,例如下列多個frame嵌套的HTML代碼:
12345 | <html> <iframe id="frame1"> <iframe id="frame2" / > </iframe></html> |
(1)從主文檔切換到frame 2:
driver.switch_to.frame('frame1') #先從主文檔切換到frame1
driver.switch_to.frame('frame2') #再從frame1切換到frame2
(2)從frame2切回到frame1:從frame2再切回frame1,這里selenium給我們提供了一個方法能夠從子frame切回到父frame,而不用我們切回主文檔再切進來。
1 | driver.switch_to.parent_frame() # 如果當前已是主文檔,則無效果 |
有了parent_frame()這個相當于后退的方法,我們可以隨意切換不同的frame,隨意的跳來跳去了。
總結下,遇到frame跳轉問題,利用以下三個方法便可以搞定:
123 | driver.switch_to.frame(reference)driver.switch_to.parent_frame()driver.switch_to.default_content() |
五、元素屬性為動態屬性,看著定位已經正確,但是隨著鼠標點擊位置不同,元素的屬性發生變化。
例如下面這個頁面的目錄的class屬性就隨著該元素是否被點擊而發生變化:解決方法:換元素的另一個固定屬性來進行定位。
六、頁面元素在頁面打開的時候被其他彈出窗口擋住。解決方法:添加關閉彈出窗口步驟。
本例演示:如何使用 <noframes> 標簽。
<html> <frameset cols="25%,25%,25%"> <frame src="/example/html/frame_a.html"> <frame src="/example/html/frame_b.html"> <frame src="/example/html/frame_c.html"> <noframes> <body>您的瀏覽器無法處理框架!</body> </noframes> </frameset> </html>
HTML基礎教程:框架實例大合集
本例演示如何制作含有三份文檔的框架結構,同時將他們混合置于行和列之中。
<html> <frameset rows="50%,50%"> <frame src="/example/html/frame_a.html"> <frameset cols="25%,75%"> <frame src="/example/html/frame_b.html"> <frame src="/example/html/frame_c.html"> </frameset> </frameset> </html>
HTML基礎教程:框架實例大合集
本例演示 noresize 屬性。在本例中,框架是不可調整尺寸的。在框架間的邊框上拖動鼠標,你會發現邊框是無法移動的。
<html> <frameset cols="50%,*,25%"> <frame src="/example/html/frame_a.html" noresize="noresize" /> <frame src="/example/html/frame_b.html" /> <frame src="/example/html/frame_c.html" /> </frameset> </html>
HTML基礎教程:框架實例大合集
本例演示如何制作導航框架。導航框架包含一個將第二個框架作為目標的鏈接列表。名為 "contents.htm" 的文件包含三個鏈接。
<html> <frameset cols="120,*"> <frame src="/example/html/html_contents.html" > <frame src="/example/html/frame_a.html" name="showframe"> </frameset> </html>
HTML基礎教程:框架實例大合集
HTML基礎教程:框架實例大合集
HTML基礎教程:框架實例大合集
本例演示如何創建內聯框架(HTML 頁中的框架)。
<html> <body> <iframe wigth="200" height="100" src="/i/eg_landscape.jpg"></iframe> <p>一些老的瀏覽器不支持 iframe。</p> <p>如果得不到支持,iframe 是不可見的。</p> </body> </html>
HTML基礎教程:框架實例大合集
本例演示兩個框架。其中的一個框架設置了指向另一個文件內指定的節的鏈接。這個"link.htm"文件內指定的節使用 <a name="C9"> 進行標識。
<html> <frameset cols="20%,80%"> <frame src="/example/html/frame_a.html"> <frame src="/example/html/link.html#C9"> </frameset> </html>
HTML基礎教程:框架實例大合集
本例演示兩個框架。左側的導航框架包含了一個鏈接列表,這些鏈接將第二個框架作為目標。第二個框架顯示被鏈接的文檔。導航框架其中的鏈接指向目標文件中指定的節。
<html> <frameset cols="200,*"> <frame src="/example/html/content.html"> <frame src="/example/html/link.html" name="showframe"> </frameset> </html>
HTML基礎教程:框架實例大合集
HTML基礎教程:框架實例大合集
希望以上可以解決你們心中的一些疑惑,其中可能會有不對的地方或是需要改進的地方,歡迎留言糾正。感覺還不錯歡迎關注收藏轉載哦
*請認真填寫需求信息,我們會在24小時內與您取得聯系。
