클릭 재킹이란 

    
 클릭재킹(Clickjacking)은 사용자가 의도한 것과 다른 작업을 수행하게 만드는 공격 방식입니다. 이 공격자는 투명한 레이어나 숨겨진 프레임을 사용하여 사용자가 클릭하려고 의도한 웹 페이지 위에 다른 웹 페이지를 겹칩니다. 사용자는 자신이 클릭하려고 했던 버튼을 클릭하는 줄 알지만 실제로는 공격자가 의도한 다른 버튼이나 링크를 클릭하게 됩니다. 이로 인해 사용자는 무의식적으로 위험한 행동을 할 수 있게 됩니다.
클릭재킹을 막기 위한 몇 가지 방법은 다음과 같습니다:

1. **X-Frame-Options (XFO) 헤더 사용**: 웹 서버의 응답 헤더에 X-Frame-Options를 설정하여 페이지가 iframe 내에서 로드되지 않도록 할 수 있습니다. 예를 들면, `X-Frame-Options: DENY` 또는 `X-Frame-Options: SAMEORIGIN` 설정을 사용하면 됩니다.

2. **Content Security Policy (CSP)**: CSP의 `frame-ancestors` 지시문을 사용하여 특정 소스에서만 페이지를 임베드 할 수 있도록 제한할 수 있습니다.

3. **프레임 버스팅 스크립트**: 자바스크립트를 사용하여 웹페이지가 iframe 내에서 로드되었는지 확인하고, 로드된 경우 웹페이지를 전체 브라우저 창으로 재로드하는 기술입니다.

4. **시각적 확인**: 웹 사이트에서 중요한 행동을 수행하기 전에 추가적인 시각적 확인(예: CAPTCHA 또는 슬라이더)을 요구함으로써 사용자의 의도된 행동을 확인할 수 있습니다.

5. **사용자 인식 훈련**: 사용자에게 클릭재킹 공격에 대한 정보를 제공하여 그들이 의심스러운 웹사이트나 행동을 발견할 때 조심스러워하게 만드는 것도 중요합니다.

이러한 방법들 중 일부 또는 모두를 조합하여 클릭재킹 공격으로부터 웹사이트를 보호할 수 있습니다.

댓글

댓글 쓰기

이 블로그의 인기 게시물

js 스트링에서 요소 갯수 세기

이상하다 https://stackoverflow.com/questions/881085/count-the-number-of-occurrences-of-a-character-in-a-string-in-javascript If you're looking for the commas: (mainStr. split ( "," ). length - 1 ) //3 If you're looking for the str (mainStr. split ( "str" ). length - 1 ) //4   console . log (( "str1,str2,str3,str4" . match ( /,/g ) || []). length ); //logs 3 console . log (( "str1,str2,str3,str4" . match ( new RegExp ( "str" , "g" )) || []). length ); //logs 4
Read more »

STUDY

@GetMapping("/proxy-download") public ResponseEntity<Resource> proxyDownload() {     String sourceUrl = "https://example.com/file-to-download.bin";     ResponseEntity<byte[]> response = restTemplate.exchange(         sourceUrl,         HttpMethod.GET,         null,         byte[].class     );     byte[] fileBytes = response.getBody();     // 👉 원본 Content-Disposition 헤더에서 파일 이름 추출     String disposition = response.getHeaders().getFirst(HttpHeaders.CONTENT_DISPOSITION);     String filename = "default.bin"; // fallback     if (disposition != null && disposition.contains("filename=")) {         // Content-Disposition: attachment; filename="some_file.bin"         filename = disposition.split("filename=")[1].replace("\"", "").trim();     }     HttpHeaders ...
Read more »

javascript cheatsheet

JavaScript 기능들을 정리한 치트시트를 제공합니다. 이 치트시트는 데이터 구조와 알고리즘을 구현하는 데 필요한 기본적인 구문과 기능을 포함하고 있습니다. ## JavaScript Coding Cheat Sheet ### 1. **기본 문법** #### 변수 선언 ```javascript let variable = value;   // 변수 선언 (변경 가능) const constant = value; // 상수 선언 (변경 불가) ``` #### 함수 선언 ```javascript // 함수 선언식 function functionName(params) {   // 함수 내용 } // 함수 표현식 const functionName = function(params) {   // 함수 내용 }; // 화살표 함수 const functionName = (params) => {   // 함수 내용 }; ``` ### 2. **기본 데이터 구조** #### 배열 (Array) ```javascript let arr = [1, 2, 3]; // 배열 길이 console.log(arr.length); // 배열 요소 접근 console.log(arr[0]); // 배열의 끝에 추가 arr.push(4); // 배열의 끝에서 제거 arr.pop(); // 배열의 앞에 추가 arr.unshift(0); // 배열의 앞에서 제거 arr.shift(); ``` #### 객체 (Object) ```javascript let obj = {   key1: 'value1',   key2: 'value2' }; // 속성 접근 console.log(obj.key1); // 속성 추가 또는 변경 obj.key3 = 'value3'; // 속성 제거 delete obj.key2; ``` ### 3. **반복문 및 조건문** #### 반복문 ```javascript // for 반복문 for (let i = 0; i ...
Read more »