1、点击劫持
原理:实质就是“挂羊头卖狗肉”的手法,两个不同的页面,上面的页面是攻击页面,下面是诱导页面
这种攻击利用了HTML中<iframe>标签的透明属性。
危害:盗取用户资料、盗取用户资金、盗用用户身份
防御:
设置X-Frame-Options
| DENY |
浏览器拒绝当前页面加载任何 iframe 页面 |
| SAMEORIGIN |
iframe 页面的地址只能为同源域名下的页面 |
| ALLOW-FROM |
origin 为允许 iframe 加载的页面地址 |
例如(JSP页面中):
response.setHeader("X-Frame-Options", "DENY");