点击劫持是一种视觉欺骗的攻击手段。
嵌套一个iframe,然后将 iframe 设置为透明。在页面中透出一个按钮诱导用户点击。
防御方法有2种:
通过 Response Header 设置,表示哪些情况下才允许使用 iframe 展示自己
X-Frame-Options: deny X-Frame-Options: sameorigin X-Frame-Options: allow-from https://example.com/
deny 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许
sameorigin 表示该页面可以在相同域名页面的 frame 中展示
allow-from uri表示该页面可以在指定来源的 frame 中展示。
2. 古老的方法
js 判断,当 top !== self 的时候,证明本页面被嵌套在 iframe了
<head>
<style id="click-jack">
html {
display: none !important;
}
</style>
</head>
<body>
<script>
if (self == top) {
// 没有被嵌套,则把display none 的样式去掉
var style = document.getElementById('click-jack')
document.body.removeChild(style)
} else {
top.location = self.location
}
</script>
</body>