Comment empêcher notre site Web en cliquant sur jacking in ASP.NET c#? [dupliquer]
cette question a déjà une réponse ici:
- ASP.net MVC3 site web aganist "clic jacking" 3 réponses
j'ai un site Web dynamique dans lequel je dois me protéger de clickjacking attaque. Dans la base de données obtenir ce type de valeurs tout en cherchant je savais un peu plus sur clickjacking mais c'est exactement ce qui ne obtenir alors S'il vous plaît quelqu'un qui sait m'aider.
2 réponses
X-FRAME-Options
ajouter ce code dans global.fichier asax.
protected void Application_BeginRequest(object sender, EventArgs e)
{
HttpContext.Current.Response.AddHeader("x-frame-options", "DENY");
}
ou
ajoutez simplement ceci à <system.webServer>
dans votre Web.Config fichier
<!--Clickjacking security-->
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="DENY" />
</customHeaders>
</httpProtocol>
<!--End clickjacking-->
ce petit extrait ajoute un en-tête http appelé X-frame-options à vos réponses http et empêche votre site d'être chargé dans une iframe dans les navigateurs" modernes".
Il y a 3 valeurs possibles pour X-Frame-Options:
- DENY : ne permettez à aucun site de cadrer votre application
- SAMEORIGIN : ne permettre que le même site d'application pour encadrer
- autoriser-de : n'autoriser que le domaine spécifique pour encadrer votre application
Essayer Meilleur-pour-maintenant Héritage Cadre du Navigateur, la Rupture de Script
une façon de se défendre contre le clickjacking est d'inclure un script" frame-breaker " dans chaque page qui ne devrait pas être encadrée. La méthode suivante empêchera qu'une page Web soit encadrée même dans les navigateurs traditionnels, qui ne prennent pas en charge L'en-tête X-Frame-Options -.
dans l'élément tête de document, ajouter ce qui suit:
appliquer D'abord un ID de l'élément style lui-même:
<style id="antiClickjack">body{display:none !important;}</style>
et ensuite supprimer ce style par son ID immédiatement après dans le script:
<script type="text/javascript">
if (self === top) {
var antiClickjack = document.getElementById("antiClickjack");
antiClickjack.parentNode.removeChild(antiClickjack);
} else {
top.location = self.location;
}
</script>