涉及面试题:什么是点击劫持?如何防范点击劫持?
点击劫持是一种视觉欺骗的攻击手段。攻击者将需要攻击的网站通过
iframe
嵌套的方式嵌入自己的网页中,并将iframe
设置为透明,在页面中透出一个按钮诱导用户点击
对于这种攻击方式,推荐防御的方法有两种
** X-FRAME-OPTIONS**
X-FRAME-OPTIONS
是一个HTTP
响应头,在现代浏览器有一个很好的支持。这个HTTP
响应头 就是为了防御用iframe
嵌套的点击劫持攻击。
该响应头有三个值可选,分别是
DENY
,表示页面不允许通过iframe
的方式展示SAMEORIGIN
,表示页面可以在相同域名下通过iframe
的方式展示ALLOW-FROM
,表示页面可以在指定来源的iframe
中展示
JS 防御
对于某些远古浏览器来说,并不能支持上面的这种方式,那我们只有通过
JS
的方式来防御点击劫持了。
<head>
<style id="click-jack">
html {
display: none !important;
}
</style>
</head>
<body>
<script>
if (self == top) {
var style = document.getElementById('click-jack')
document.body.removeChild(style)
} else {
top.location = self.location
}
</script>
</body>
以上代码的作用就是当通过
iframe
的方式加载页面时,攻击者的网页直接不显示所有内容了