点击劫持

谁都会走 提交于 2019-11-29 05:40:45

点击劫持是一种视觉欺骗的攻击手段。

嵌套一个iframe,然后将 iframe 设置为透明。在页面中透出一个按钮诱导用户点击。

防御方法有2种:

1. X-FRAME-OPTIONS

  通过 Response Header 设置,表示哪些情况下才允许使用 iframe 展示自己

X-Frame-Options: deny
X-Frame-Options: sameorigin
X-Frame-Options: allow-from https://example.com/

  deny 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许

  sameorigin 表示该页面可以在相同域名页面的 frame 中展示

  allow-from uri表示该页面可以在指定来源的 frame 中展示。

2. 古老的方法

  js 判断,当 top !== self 的时候,证明本页面被嵌套在 iframe了

<head>
  <style id="click-jack">
    html {
      display: none !important;
    }
  </style>
</head>
<body>
  <script>
    if (self == top) {
      // 没有被嵌套,则把display none 的样式去掉
      var style = document.getElementById('click-jack')
      document.body.removeChild(style)
    } else {
      top.location = self.location
    }
  </script>
</body>

 

标签
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!