點擊劫持
- 用戶親手操作---盜取用戶資金(轉賬,消費)
- 用戶不知情---獲取用戶敏感資訊
- ....if
利用 iframe 內嵌頁面,并將原頁面透明度設定為零,這樣實作點擊劫持
點擊劫持防御
- JavaScript 禁止內嵌
- 在內嵌頁面中
top和window不等
- 在內嵌頁面中
if (top.loaction != window.location) {
top.location = window.location;
}
但這種方式有時并不完全有效,因為攻擊者是可以禁止 JavaScript 腳本的
<iframe
sandbox="allow-forms"
style="opacity:"
src=https://www.cnblogs.com/ygjzs/p/"..."
width="800"
height="600"
></iframe>
H5 的 sandbox 屬性就可以讓攻擊得到想要的結果
- X-FRAME-OPTIONS 禁止內嵌
這種方式可以有效解決上述問題
加入組織內嵌的頭部,這樣就可以解決上面的問題,這種方式也是防御點擊劫持最有效的
ctx.set('X-Frame-Options','DENY')
- 其他輔助手段
- 加驗證碼
- 影響用體驗,但可以有效預防,不能完全預防
- 僅僅是輔助手段,并不能根本解決
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/3945.html
標籤:訊息安全
上一篇:前端的Cookies
下一篇:前端傳輸安全