You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
Copy file name to clipboardExpand all lines: 3-frames-and-windows/06-clickjacking/article.md
+7-7Lines changed: 7 additions & 7 deletions
Display the source diff
Display the rich diff
Original file line number
Diff line number
Diff line change
@@ -64,9 +64,9 @@ Questo tipo di attacco colpisce solamente le azioni effettuate con il mouse (o i
64
64
65
65
Gli input da tastiera sono più difficili da reindirizzare. Tecnicamente, se volessimo attaccare un campo di testo, allora potremmo posizionare un iframe in modo che i campi di testo si sovrappongano. Quindi quando un utente proverà ad andare in focus sull'input che vedono nella pagina, in realtà starà impostando il focus sull'iframe.
66
66
67
-
Ma in questo caso avremo un problema. Tutto ciò che l'utente scriverà sarà invisibile, perché anche l'iframe lo è.
67
+
Ma in questo caso avremmo un problema. Tutto ciò che l'utente scriverà sarà invisibile, perché anche l'iframe lo è.
68
68
69
-
Un utente solitamente smette di digitare quando notano che nessun carattere sta apparendo sullo schermo.
69
+
Un utente solitamente smette di digitare quando notanche nessun carattere sta apparendo sullo schermo.
70
70
```
71
71
72
72
## Difesa vecchia scuola (debole)
@@ -123,7 +123,7 @@ Ci sono altri modi per aggirare questa protezione.
123
123
124
124
L'header server-side `X-Frame-Options` consente di definire se mostrare una pagina all'interno di un iframe.
125
125
126
-
Deve essere inviato come HTTP-header: il browser lo ignorerà se provate ad inserirlo tarmite il tag `<meta>`. Quindi, `<meta http-equiv="X-Frame-Options"...>` non avrá alcun effetto.
126
+
Deve essere inviato come HTTP-header: il browser lo ignorerà se provate ad inserirlo tarmite il tag `<meta>`. Quindi, `<meta http-equiv="X-Frame-Options"...>` non avrà alcun effetto.
127
127
128
128
L'header può assumere 3 valori:
129
129
@@ -132,10 +132,10 @@ L'header può assumere 3 valori:
132
132
: Non mostrare mai la pagina dentro un iframe.
133
133
134
134
`SAMEORIGIN`
135
-
: Consenti di mostrare una pagina dentro gli iframe, se appartengono alla stessa origine.
135
+
: Consenti di mostrare una pagina dentro gli iframe, se appartiene alla stessa origine.
136
136
137
137
`ALLOW-FROM domain`
138
-
: Consenti agli iframe di mostrare una pagina se il documento padre appartiene al `domain` fornito.
138
+
: Consenti agli iframe di mostrare una pagina se il documento genitore appartiene al `domain` fornito.
139
139
140
140
Ad esempio, Twitter utilizza `X-Frame-Options: SAMEORIGIN`.
141
141
@@ -149,7 +149,7 @@ Qui vediamo il risultato:
149
149
<!-- ebook: prerender/ chrome headless va in timeout con questo iframe -->
150
150
<iframe src="https://twitter.com"></iframe>
151
151
152
-
In base al browser che state utilizzando, l'`iframe` definito sopra, potrebbe o essere vuoto oppure avvertirvi che il browser non permette alla pagina questo tipo di navigazione.
152
+
In base al browser che state utilizzando, l'`iframe` definito sopra potrebbe o essere vuoto oppure avvertirvi che il browser non permette alla pagina questo tipo di navigazione.
153
153
````
154
154
155
155
## Visualizzazione con funzionalità limitate
@@ -215,7 +215,7 @@ Un hacker può condividere un link nella sua pagina malevola, attirare gli utent
215
215
216
216
Da un certo punto di vista, l'attacco non è così complesso: ciò che deve fare l'hacker è semplicemente intercettare un click. Però, se l'hacker è a conoscenza di ciò che apparirà dopo il click, allora potrà utilizzare dei messaggi astuti per convincere l'utente a cliccare anche sui successivi controlli.
217
217
218
-
L'attacco può essere piuttosto pericoloso, perché quando studiano la UI (interfaccia utente), solitamente, non prendiamo in considerazione il fatto che un hacker potrebbe effettuare click al posto di un utente. Quindi possiamo trovare vulnerabilità nei posti più inaspettati.
218
+
L'attacco può essere piuttosto pericoloso, perché quando studiano la UI (interfaccia utente), solitamente non prendiamo in considerazione il fatto che un hacker potrebbe effettuare un click al posto di un utente. Quindi possiamo trovare vulnerabilità nei posti più inaspettati.
219
219
220
220
- E' sempre consigliato utilizzare `X-Frame-Options: SAMEORIGIN` nelle pagine (o anche nell'intero sito) che non abbiamo intenzione vengano mostrare all'interno degli iframe.
221
221
- Possiamo utilizzare un `<div>` "contenitore" se vogliamo consentire alle nostre pagine di essere mostrare negli iframe, ma rimanere comunque protetti.
0 commit comments