点击劫持:X-Frame-Options

点击劫持:X-Frame-Options

点击劫持是一种视觉欺骗手段,在web端就是iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。

我们真正要做的,并不是把自己的页面放到iframe里嵌入别人的页面,而是要把别人的页面利用iframe嵌入到自己的网站页面中来,再通过UI上面的欺骗,诱使用户“做他原本不想做的事情”。

参考链接:https://cnodejs.org/topic/56e664efd62bdb576d051d1c

 

(1)设置HTTP请求头(X-Frame-Options)

X-Frame-Options共有三个值:

DENY:任何页面都不能被嵌入到iframe或者frame中。

SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。

ALLOW-FROM URI:页面自能被指定的Uri嵌入到iframe或frame中。

(2)限制任何页面都不能被嵌入到iframe为例,分别在apache、IIS和Nginx中配置。

  (3)PHP代码: header(‘X-Frame-Options:SAMEORIGIN’);

  (4) JSP代码: response.setHeader(“X-Frame-Options”,”SAMEORIGIN”

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值