点击劫持:X-Frame-Options
点击劫持是一种视觉欺骗手段,在web端就是iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。
我们真正要做的,并不是把自己的页面放到iframe里嵌入别人的页面,而是要把别人的页面利用iframe嵌入到自己的网站页面中来,再通过UI上面的欺骗,诱使用户“做他原本不想做的事情”。
参考链接:https://cnodejs.org/topic/56e664efd62bdb576d051d1c
(1)设置HTTP请求头(X-Frame-Options)
X-Frame-Options共有三个值:
DENY:任何页面都不能被嵌入到iframe或者frame中。
SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。
ALLOW-FROM URI:页面自能被指定的Uri嵌入到iframe或frame中。
(2)限制任何页面都不能被嵌入到iframe为例,分别在apache、IIS和Nginx中配置。
(3)PHP代码: header(‘X-Frame-Options:SAMEORIGIN’);
(4) JSP代码: response.setHeader(“X-Frame-Options”,”SAMEORIGIN”