您的位置:首页 > Web前端

【前端安全】点击劫持

2019-04-07 13:32 441 查看

点击挟持:

顾名思义,跟点击有关,挟持,意味着违背用户意愿做一件事情。

点击挟持,通过用户点击完成了另一个操作,用户并不知情。

通过iframe

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta http-equiv="X-UA-Compatible" content="ie=edge">
<title>点击挟持</title>
</head>
<body style="background: url(clickhijack.png) no-repeat">
<iframe style="opacity:0" src="http://localhost:80/post/15" width="800" height="600"></iframe>
</body>
</html>

点击劫持防御

  • javascript 禁止内嵌
  • X-FRAME-OPTIONS 禁止内嵌
  • 其他辅助手段

1. javascript 禁止内嵌

当有 iframe内嵌时候,top 和window会不相等

if(!top.location != winodw.location) {
top.location = window.location
}

有可能禁用了JS,此时点击劫持还是会有的。

2. X-FRAME-OPTIONS 禁止内嵌

ctx.set('X-Frame-Options', 'DENY');

3. 其他辅助手段

加验证码 来防止点击挟持 或者其他手段来增加用户的操作。

内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息
标签: