Clickjacking

Bei einem ClickJacking -Angriff wird dem Benutzer eine falsche Schnittstelle angezeigt, in der seine Eingabe auf etwas angewendet wird, das er nicht sehen kann

ClickJacking (klassifiziert als a Angriff der Benutzeroberfläche Umnahme oder UI -Wiedergutmachung) ist ein bösartige Technik von Tricks a Benutzer in etwas anderes zu klicken, was der Benutzer wahrnimmt, und somit potenziell enthüllt vertraulich Informationen oder erlauben anderen, die Kontrolle über ihren Computer zu übernehmen, während sie auf scheinbar harmlose Objekte klicken, einschließlich Webseiten.[1][2][3][4][5]

ClickJacking ist eine Instanz der verwirrtes stellvertretendes Problem, wobei ein Computer dazu gebracht wird, seine Autorität zu missbrauchen.[6]

Geschichte

Im Jahr 2002 wurde festgestellt, dass es möglich war, eine transparente Schicht über a zu laden Website und die Eingabe des Benutzers beeinflusst die transparente Ebene, ohne dass der Benutzer es bemerkt. Dies wurde jedoch hauptsächlich als Hauptproblem bis 2008 ignoriert.[7]

Im Jahr 2008 hatten Jeremiah Grossman und Robert Hansen das entdeckt Adobe Flash Player war in der Lage, geklickt zu werden, und erlaubte eine Angreifer So erhalten Sie Zugang zum Computer ohne das Wissen des Benutzers.[7]

Der Begriff "Clickjacking" wurde von Jeremiah Grossman und Robert Hansen geprägt.[8][9] a Handkoffer von den Wörtern "Klicken" und "Hijacking". [7]

Da mehr Angriffe ähnlicher Natur entdeckt wurden, wurde der Fokus des Begriffs "UI -Wiedergutmachung" geändert, um die Kategorie dieser Angriffe zu beschreiben, anstatt sich selbst selbst zu klicken.[7]

Beschreibung

Eine Form des ClickJacking nutzt Schwachstellen, die in Anwendungen oder Webseiten vorhanden sind, damit der Angreifer den Computer des Benutzers für seinen eigenen Vorteil manipulieren kann.

Ein Clickjacked -Seiten -Benutzer tritt beispielsweise einen Benutzer dazu, unerwünschte Aktionen durchzuführen, indem Sie auf verborgene Links klicken. Auf einer Clickjacked -Seite laden die Angreifer eine andere Seite über die Originalseite in einer transparenten Ebene, um den Benutzer dazu zu bringen, Aktionen zu ergreifen. Die ahnungslosen Benutzer glauben, dass sie auf sichtbare Schaltflächen klicken, während sie tatsächlich Aktionen auf der unsichtbaren Seite ausführen und auf Schaltflächen der Seite unterhalb der Ebene klicken. Die versteckte Seite kann eine authentische Seite sein. Daher können die Angreifer Benutzer dazu bringen, Aktionen auszuführen, die die Benutzer nie beabsichtigt haben. Es gibt keine Möglichkeit, solche Aktionen später den Angreifern zu verfolgen, da die Benutzer auf der versteckten Seite wirklich authentifiziert worden wären.

ClickJacking -Kategorien

  • Klassisch: funktioniert meistens durch a Webbrowser[7]
  • Jacking: nutzt Facebooks Social -Media -Fähigkeiten[10][11]
  • Verschachtelt: ClickJacking maßgeschneidert auf den Affekt zugeschnitten Google+[12]
  • Cursorjacking: Manipuliert das Aussehen und die Lage des Cursors[7]
  • Mousejacking: Inject -Tastatur oder Mauseingabe über Remote -HF -Link injizieren[13]
  • Browserlos: verwendet keinen Browser[7]
  • Cookiejacking: erwirbt Kekse von Browsern[7][14]
  • Dateijacking: In der Lage, das betroffene Gerät als Dateiserver einzurichten[7][15][16]
  • Passwort Manager -Angriff: ClickJacking, das eine Sicherheitsanfälligkeit in der Autofill -Fähigkeit von Browsern nutzt[7]

Klassisch

Klassisches ClickJacking bezieht sich auf eine Situation, wenn eine Angreifer verwendet versteckte Schichten auf Webseiten Um die Aktionen zu manipulieren, führt der Cursor eines Benutzers, was dazu führt, dass der Benutzer in die Irre führt, worauf wirklich geklickt wird.[17]

Ein Benutzer erhält möglicherweise eine E -Mail mit einem Link zu einem Video über einen Nachrichten, aber eine weitere Webseite, beispielsweise eine Produktseite auf Amazonas, kann oben oder unter dem "Play" -Button des Nachrichtenvideos "versteckt" werden. Der Benutzer versucht das Video zu "spielen", aber tatsächlich "kauft" das Produkt von Amazon. Der Hacker kann nur einen einzelnen Klick senden, sodass er darauf angewiesen ist, dass der Besucher beide angemeldet ist Amazon.com und hat 1-Klick-Bestellung aktiviert.

Während die technische Implementierung dieser Angriffe aufgrund von Cross-Browser-Inkompatibilitäten eine Herausforderung sein kann, können eine Reihe von Tools wie Rindfleisch oder Metasploit -Projekt Bieten Sie eine fast vollständig automatisierte Ausbeutung von Kunden auf gefährdeten Websites an. ClickJacking kann durch andere Webangriffe erleichtert oder erleichtert werden, wie z. XSS.[18][19]

Jacking

Jacking ist ein bösartige Technik Benutzer, die Benutzer einsetzen, die eine Website betrachten "Geschmack" a Facebook Seite oder andere sozialen Medien Beiträge/Konten, die sie nicht absichtlich "mögen" bedeuten.[20] Der Begriff "Likejacking" stammt aus einem Kommentar von Corey Ballou im Artikel Wie man irgendetwas im Internet "mag" (sicher),[21] Dies ist eines der ersten dokumentierten Beiträge, die die Möglichkeit von böswilligen Aktivitäten bezüglich Facebooks "Like" -Button erläutern.[22]

Nach einem Artikel in IEEE -SpektrumBei einem von Facebook wurde eine Lösung für das Jacking entwickelt Hackathons.[23] Wie" Lesezeichen ist verfügbar, das die Möglichkeit vermeidet, in der vorhanden zu sein Facebook wie Button.[24]

Verschachtelt

Verschachtelte Clickjacking im Vergleich zu klassisch Website: Das von der gerahmten Seite und das, was im oberen Fenster angezeigt wird. Dies funktioniert aufgrund einer Verwundbarkeit im HTTP -Header X-Frame-Optionen, in dem, wenn dieses Element den Wert hat Sameorigin, das Webbrowser Überprüft nur die beiden oben genannten Schichten. Die Tatsache, dass zusätzliche Frames zwischen diesen beiden hinzugefügt werden können und unentdeckt bleiben Angreifer kann dies zu ihrem Vorteil verwenden.

In der Vergangenheit mit Google+ und die fehlerhafte Version von X-Frame-Optionen, Angreifer konnten Frames ihrer Wahl einfügen, indem sie die anfällige anfällige in der vorhandenen Verwendung nutzten Googles Image -Suchmaschine. Zwischen den Bildanzeigerahmen, die auch in Google+ vorhanden waren Angreifer Wer auf die Bildanzeigeseite kam.[12]

Cursorjacking

Cursorjacking ist eine UI -Wiedergutmachungstechnik, um den Cursor vom Ort zu ändern, den der Benutzer wahrnimmt, der 2010 von Eddy Bordi, einem Forscher bei Schwachstellen, entdeckt wurde.[25] Marcus Niemietz zeigte dies mit einer benutzerdefinierten Cursor -Ikone und im Jahr 2012, indem er den Cursor versteckte.[26]

Jordi Chancel, ein Forscher bei alternativ-testing.fr, entdeckte eine Cursorjacking-Sicherheitsanfälligkeit mit Flash, HTML und Javascript-Code in Mozilla Firefox auf Mac OS X-Systemen (in Firefox 30.0 fixiert), was zu beliebiger Codehypisierung und Webcam-Spytion führen kann.[27]

Jordi Chancel in Mozilla Firefox unter Mac OS X -Systemen (in Firefox 37.0 fixiert) wurde erneut eine zweite Cursorjacking -Schwachstelle entdeckt, die erneut Flash, HTML und JavaScript -Code behoben werden kann, was auch zum Ausspingen über eine Webcam und die Ausführung eines böswilligen Addons führen kann, Ermöglichen der Ausführung von Malware auf dem Computer des betroffenen Benutzers.[28]

Mousejack

Unter anderem von anderen ClickJacking-Techniken, die eine Benutzeroberfläche wiederholen, ist Mousejack eine drahtlose Hardware-basierte UI-Sicherheitslücke, die von Marc Newlin von Bastille.net erstmals gemeldet wurde, wodurch der externe Tastatureingang in gefährdete Dongles injiziert werden kann.[29] Logitech lieferte Firmware -Patches, aber andere Hersteller reagierten nicht auf diese Verwundbarkeit.[30]

Browserlos

Im browserlosen Clickjacking, Angreifer Verwenden Sie Schwachstellen in Programmen, um klassisches ClickJacking in ihnen zu replizieren, ohne die Anwesenheit eines Webbrowsers zu verwenden.

Diese Methode des Clickjacking ist hauptsächlich bei mobilen Geräten vorhanden, normalerweise ein Android -Gerätebesonders aufgrund der Art und Weise, in der Toastbenachrichtigungen Arbeit. Da Toastbenachrichtigungen Haben Sie eine geringe Verzögerung zwischen dem Moment, in dem die Benachrichtigung angefordert wird, und in dem Moment, in dem die Benachrichtigung tatsächlich auf dem Bildschirm angezeigt wird, zeigt Angreifer sind in der Lage, diese Lücke zu verwenden, um eine Dummy -Taste zu erstellen, die unter der Benachrichtigung versteckt ist und weiterhin geklickt werden kann.[7]

Cookiejacking

Cookiejacking ist eine Form von ClickJacking, in der Kekse aus dem Opfer gestohlen werden Internetbrowser. Dies geschieht, indem der Benutzer dazu gebracht wird, ein Objekt zu ziehen, das scheinbar harmlos erscheint. Tatsächlich wählt der Benutzer jedoch den gesamten Inhalt des gezielten Cookies aus. Von dort aus kann der Angreifer das Cookie und alle Daten erwerben, die er besitzt.[14][Klarstellung erforderlich]

Dateijacking

Bei Filejacking verwenden Angreifer die Fähigkeit des Webbrowsers, durch den Computer zu navigieren und auf Computerdateien zuzugreifen, um personenbezogene Daten zu erwerben. Dies geschieht, indem der Benutzer einen aktiven Dateiserver festgelegt wird (über das von Browsern verwendete Datei- und Ordnerfenster). Damit können Angreifer jetzt auf Dateien aus den Computern ihrer Opfer zugreifen und aufnehmen.[15]

Passwort Manager -Angriff

Ein 2014er Artikel von Forschern am Carnegie Mellon Universität stellte fest, dass sich die Browser weigern, automatisch zu automatisieren, wenn sich das Protokoll auf der aktuellen Anmeldeseite vom Protokoll zum Zeitpunkt des Speicherns unterscheidet, einige einige Passwortmanager Würde unsichere Passwörter für die HTTP-Version von HTTPS-Saved-Passwörtern ausfüllen. Die meisten Manager schützten sich nicht dagegen iframe- und Umleitung-basierend Anschläge und entlarvte zusätzliche Passwörter wo Passwortsynchronisation war zwischen mehreren Geräten verwendet worden.[16]

Verhütung

Client-Seite

NoScript

Der Schutz gegen ClickJacking (einschließlich ähnliches Jacking) kann hinzugefügt werden Mozilla Firefox Desktop und Handy[31] Versionen durch Installieren der NoScript Add-On: Die am 8. Oktober 2008 veröffentlichte ClearClick-Funktion verhindert, dass Benutzer auf unsichtbare oder "gesetzliche" Seitenelemente eingebetteter Dokumente oder Applets klicken.[32] Laut "Browser Security Handbook" aus dem Jahr 2008 ist ClearClick von NoScript ein "frei verfügbares Produkt, das ein angemessenes Schutzgrad für Clickjacking bietet.[33] Der Schutz vor dem neueren Cursorjacking -Angriff wurde zu NoScript 2.2.8 RC1 hinzugefügt.[26]

Noclickjack

Das Webbrowser-Add-On "Noclickjack" (Browsererweiterung) fügt Client-Side-ClickJack-Schutz für Benutzer von hinzu Google Chrome, Mozilla Firefox, Oper und Microsoft Edge ohne den Betrieb legitimer Iframes zu stören. Noclickjack basiert auf Technologie, die für GuardedID entwickelt wurde. Das Noclickjack-Add-On ist kostenlos.

Guardedid

GuardedID (ein kommerzielles Produkt) beinhaltet den Kunden auf dem Client-Side-ClickJack-Schutz für Benutzer von Internet Explorer, ohne den Betrieb legitimer IFRames zu stören.[34] Guardedid ClickJack Protection Forces alle Frames, um sichtbar zu werden. Guardedid -Teams[Klarstellung erforderlich] mit dem Add-On Noclickjack, um Schutz für den Schutz für Google Chrome, Mozilla Firefox, Oper und Microsoft Edge.

Gazelle

Gazelle ist ein Microsoft Research Project Secure Webbrowser basierend auf dem IE, der eine verwendet OS-ähnlich Sicherheitsmodell und hat seine eigene begrenzte Abwehr gegen ClickJacking.[35] In Gazelle kann ein Fenster unterschiedlicher Herkunft nur dynamischen Inhalt über den Bildschirm eines anderen Fensters ziehen, wenn der von ihm gezogene Inhalt undurchsichtig ist.

Kreuzung Observer V2

Die Kreuzung Observer V2 API[36] führt das Konzept der Verfolgung der tatsächlichen "Sichtbarkeit" eines Zielelements als Mensch ein, das sie definieren würde.[37] Dadurch kann ein gerahmtes Widget erkennen, wann es abgedeckt wird. Die Funktion ist standardmäßig aktiviert, da Google Chrome 74, veröffentlicht im April 2019.[38] Chrome ist der einzige Browser, der die API zu diesem Zeitpunkt implementiert.

Server-Seite

Framekiller

Website -Eigentümer können ihre Benutzer vor der Serverseite vor Einbeziehung von a vor der Benutzeroberfläche schützen (frame -basierte Clickjacking) Framekiller JavaScript -Ausschnitt auf den Seiten möchten sie nicht in Frames aus verschiedenen Quellen einbezogen werden.[33]

Ein solcher javaScript-basierter Schutz ist nicht immer zuverlässig. Dies gilt insbesondere für Internet Explorer,[33] Wo diese Art von Gegenmaßnahme durch Entwurf umgangen werden kann, indem die gezielte Seite in ein <iframe Security = eingeschränkt> Element einbezogen wird.[39]

X-Frame-Optionen

Eingeführt 2009 in Internet Explorer 8 war ein neuer HTTP -Header X-Frame-Optionen das bot einen teilweisen Schutz gegen ClickJacking[40][41] und wurde von anderen Browsern adoptiert (Safari,[42] Feuerfuchs,[43] Chrom,[44] und Oper[45]) kurz danach. Der Header erklärt, wenn er vom Website -Eigentümer festgelegt ist, seine bevorzugten Richtlinien: Werte von LEUGNEN, Zulassungsherkunft, oder Sameorigin verhindert jegliche Rahmung, Rahmung durch externe Stellen oder erlaubt das Rahmen nur durch die angegebene Stelle. Darüber hinaus geben einige Werbesites einen nicht standardmäßigen ALLES ERLAUBEN Wert mit der Absicht, ihre Inhalte auf einer Seite zu ermöglichen (entspricht überhaupt nicht X-Frame-Optionen).

2013 wurde der Header des X-Frame-Options offiziell als RFC 7034 veröffentlicht.[46] ist aber kein Internetstandard. Das Dokument wird nur zu Informationszwecken bereitgestellt. Die Empfehlung der Inhaltssicherheitsrichtlinie der W3C bietet eine alternative Sicherheitsrichtlinie, Frame-Anschlüsse, die den Header mit X-Frame-Options veraltet ist.[47]

Ein Sicherheitsheader wie X-Frame-Optionen schützt Benutzer nicht vor ClickJacking-Angriffen, die keinen Rahmen verwenden.[48]

Inhaltssicherheitsrichtlinie

Das Frame-Anschlüsse Richtlinie von Inhaltssicherheitsrichtlinie (eingeführt in Version 1.1) kann ermöglichen oder die Einbettung von Inhalten durch potenziell feindliche Seiten unter Verwendung von IFrame, Objekt usw. nicht zulassen. Diese Richtlinie veraltet die Richtlinie X-Frame-Options. Wenn eine Seite mit beiden Headern zugestellt wird, sollte die Richtlinienrichtlinien des Browsers bevorzugt werden.[49]- Obwohl einige beliebte Browser dieser Anforderung nicht gehorchen.[50]

Beispielrahmen für Richtlinien: Richtlinien:

# Einbettung nicht zulassen. Alle Iframes usw. sind leer oder enthalten eine browserspezifische Fehlerseite. Content-Security-Policy: Frame-oncestors 'Keine'
# Einbettung von zulassen eigener Inhalt nur. Content-Security-Policy: Frame-Onesors 'Self' '
# Ermöglichen Sie spezifische Ursprünge, diese Inhaltsinhalte-Security-Policy einzubetten: Frame-oncestors www.example.com www.wikipedia.org

Siehe auch

Verweise

  1. ^ Robert McMillan (17. September 2008). "Auf Adobe's Anfrage haben Hacker Nix 'Clickjacking' Talk". PC Welt. Archiviert von das Original am 17. Juli 2015. Abgerufen 8. Oktober 2008.
  2. ^ Megha Dhawan (29. September 2008). "Vorsicht, Clickjacker auf der Suche". Indische Zeiten. Archiviert von das Original am 24. Juli 2009. Abgerufen 8. Oktober 2008.
  3. ^ Dan Goodin (7. Oktober 2008). "Net Game verwandelt PC in verdeckte Überwachungszombie". Das Register. Abgerufen 8. Oktober 2008.
  4. ^ Fredrick Lane (8. Oktober 2008). "Web -Surfer sind mit einer gefährlichen neuen Bedrohung ausgesetzt: 'Clickjacking'". newsfactor.com. Archiviert von das Original am 13. Oktober 2008. Abgerufen 8. Oktober 2008.
  5. ^ Shahriar, Hossain; Devendran, Vamshee Krishna (4. Juli 2014). "Klassifizierung von Clickjacking -Angriffen und Erkennungstechniken". Informationssicherheitsjournal: Eine globale Perspektive. 23 (4–6): 137–147. doi:10.1080/19393555.2014.931489. ISSN 1939-3555. S2CID 43912852.
  6. ^ Der verwirrte Stellvertreter fährt wieder!, Tyler Close, Oktober 2008
  7. ^ a b c d e f g h i j k Niemietz, Marcus (2012). "UI -Rechtsanfälle auf Android -Geräte" (PDF). Schwarzer Hut.
  8. ^ Sie wissen nicht (klicken) Jack Robert Lemos, Oktober 2008
  9. ^ Jastine, Beere. "Facebook-Hilfe Nummer 1-888-996-3777". Abgerufen 7. Juni 2016.
  10. ^ "Viral ClickJacking 'Like' Worm trifft Facebook -Benutzer". Nackte Sicherheit. 31. Mai 2010. Abgerufen 23. Oktober 2018.
  11. ^ "Facebook Worm -" Likejacking "". Nackte Sicherheit. 31. Mai 2010. Abgerufen 23. Oktober 2018.
  12. ^ a b Lekies, Sebastian (2012). "Über die Fragilität und Einschränkungen des aktuellen Browsers bereitgestellt ClickJacking-Schutzschemata" (PDF). Usenix.
  13. ^ "Wireless Maushacks und Netzwerksicherheitsschutz". Mousejack. Abgerufen 3. Januar 2020.
  14. ^ a b Valotta, Rosario (2011). "Cookiejacking". Tentacoloviola - Sites.google.com. Abgerufen 23. Oktober 2018.
  15. ^ a b "Dateijacking: So erstellen Sie einen Dateiserver aus Ihrem Browser (natürlich mit HTML5)". blog.kotowicz.net. Abgerufen 23. Oktober 2018.
  16. ^ a b "Passwortmanager: Angriffe und Verteidigung" (PDF). Abgerufen 26. Juli 2015.
  17. ^ Sahani, Rishabh; Randhawa, Sukhchandan (1. Dezember 2021). "ClickJacking: Vorsicht vor Klicken". Drahtlose persönliche Kommunikation. 121 (4): 2845–2855. doi:10.1007/s11277-021-08852-y. ISSN 0929-6212.
  18. ^ "Das ClickJacking trifft XSS: Ein modernster Kunst.". DB nutzen. 26. Dezember 2008. Abgerufen 31. März 2015.
  19. ^ Krzysztof Kotowicz. "Ausnutzung des unerpennbaren XSS mit ClickJacking". Abgerufen 31. März 2015.
  20. ^ Cohen, Richard (31. Mai 2010). "Facebook -Arbeit -" Likejacking "". Sophos. Archiviert von das Original am 4. Juni 2010. Abgerufen 5. Juni 2010.
  21. ^ Ballou, Corey (2. Juni 2010). ""Likejacking" -Schemie fängt an ". jQueryin.com. Archiviert von das Original am 5. Juni 2010. Abgerufen 8. Juni 2010.
  22. ^ Perez, Sarah (2. Juni 2010). ""Likejacking" nimmt auf Facebook ab ". ReadwriteWeb. Archiviert von das Original am 16. August 2011. Abgerufen 5. Juni 2010.
  23. ^ Kushner, David (Juni 2011). "Facebook -Philosophie: Bewegen Sie sich schnell und brechen Sie die Dinge". spectrum.ieee.org. Abgerufen 15. Juli 2011.
  24. ^ Perez, Sarah (23. April 2010). "Wie man" irgendetwas im Web (sicher) "mag" ". ReadwriteWeb. Abgerufen 24. August 2011.
  25. ^ Podlipensky, Paul. "Cursor -Spoofing und Cursorjacking". Podlipensky.com. Paul Podlipensky. Archiviert von das Original am 22. November 2017. Abgerufen 22. November 2017.
  26. ^ a b Krzysztof Kotowicz (18. Januar 2012). "Cursorjacking wieder". Abgerufen 31. Januar 2012.
  27. ^ "Mozilla Foundation Security Advisory 2014-50". Mozilla. Abgerufen 17. August 2014.
  28. ^ "Mozilla Foundation Security Advisory 2015-35". Mozilla. Abgerufen 25. Oktober 2015.
  29. ^ "Was ist Mousejack!". Bastille. Abgerufen 3. Januar 2020.
  30. ^ "Cert Vu#981271 Mehrere drahtlose Tastatur-/Mausgeräte verwenden ein unsicheres proprietäres drahtloses Protokoll". www.kb.cert.org. Abgerufen 3. Januar 2020.
  31. ^ Giorgio Maone (24. Juni 2011). "NoScript überall". hackademix.net. Abgerufen 30. Juni 2011.
  32. ^ Giorgio Maone (8. Oktober 2008). "Hallo Clearclick, Auf Wiedersehen klickjacking". hackademix.net. Abgerufen 27. Oktober 2008.
  33. ^ a b c Michal Zalevski (10. Dezember 2008). "Browser Security Handbook, Teil 2, UI -Wiedergutmachung". Google Inc. Abgerufen 27. Oktober 2008.
  34. ^ Robert Hansen (4. Februar 2009). "ClickJacking und Guardedid ha.ckers.org Web Application Security Lab". Archiviert von das Original am 11. Juli 2012. Abgerufen 30. November 2011.
  35. ^ Wang, Helen J.; Grier, Chris; Moschchuk, Alexander; King, Samuel T.; Choudhury, Piali; Venter, Herman (August 2009). "Der Multi-Principal OS-Konstruktion des Gazelle-Webbrowsers" (PDF). 18. Usenix Security Symposium, Montreal, Kanada. Abgerufen 26. Januar 2010.
  36. ^ "Intersection Observer - Entwurf des W3C -Herausgebers".
  37. ^ "Vertrauen ist gut, Beobachtung ist besser".
  38. ^ "De-Anonymisierung über ClickJacking im Jahr 2019".
  39. ^ Giorgio Maone (27. Oktober 2008). "Hey IE8, ich kann einen ClickJacking -Schutz haben". hackademix.net. Abgerufen 27. Oktober 2008.
  40. ^ Eric Lawrence (27. Januar 2009). "IE8 Sicherheitsteil VII: ClickJacking -Verteidigung". Abgerufen 30. Dezember 2010.
  41. ^ Eric Lawrence (30. März 2010). "Clickjacking mit X-Frame-Optionen bekämpfen". Abgerufen 30. Dezember 2010.
  42. ^ Ryan Naraine (8. Juni 2009). "Apple Safari Jumbo Patch: 50+ Schwachstellen festgelegt". Abgerufen 10. Juni 2009.
  43. ^ https://developer.mozilla.org/en/the_x-frame-options_response_header Archiviert 7. Oktober 2010 bei der Wayback -Maschine Der Reaktionsheader des X-Frame-Options-MDC
  44. ^ Adam Barth (26. Januar 2010). "Sicherheit ausführlich: Neue Sicherheitsfunktionen". Abgerufen 26. Januar 2010.
  45. ^ "Webspezifikationen unterstützen die Opera Presto 2.6". 12. Oktober 2010. archiviert von das Original am 14. Januar 2012. Abgerufen 22. Januar 2012.
  46. ^ "HTTP-Headerfeld X-Frame-Optionen".Ietf.2013.
  47. ^ "Inhaltssicherheitsrichtlinie Level 2".W3c.2016.
  48. ^ "LCAMTUF-Blog: X-Frame-Optionen oder Lösen des falschen Problems".
  49. ^ "Inhaltssicherheitsrichtlinie Level 2". W3.org. 2. Juli 2014. Abgerufen 29. Januar 2015.
  50. ^ "ClickJacking Defense Cheat Sheet". Abgerufen 15. Januar 2016.