利用openrestry动态修复部分漏洞

文章预览

背景 安全风险频出，在甲方如何在不影响业务的情况下修复安全漏洞是一个经常苦扰的问题，因为业务优先，业务在跑，安全没太大的权利责令业务停机修复漏洞，当然及其严重的漏洞除外。本文将尝试通过openrestry来动态解决点击劫持漏洞。 点击劫持漏洞介绍 点击劫持漏洞简单讲就是自己构造一个网页，然后用iframe嵌了其他网页，伪造的网页引诱用户点击，当用户点击时实际上是点击到了前面的iframe的网页。找了张网上的图来说明下：                     可以拿以下html来测试： < html > < head > < meta charset = "UTF-8" > < title > 点击劫持 title > < style > iframe { /*窗口的大小*/ width : 2500px ; height : 1600px ; /*定位绝对位置*/ position : absolute; top : - 195px ; left : - 740px ; z-index : 2 ; /* 从视图上隐藏 */ -moz ………………………………