前端网络安全——点击劫持

点击劫持特点：

用户亲自操作

用户不知情

 

实现原理：

利用iframe，在攻击网站让用户点击隐藏的iframe目标页面。

 

防御策略：

1、Javascript禁止内嵌，利用top对象和window对象判断是否被嵌套，然后页面进行跳转。

正常页面top对象和window对象是相等的

被iframe嵌入了页面，那么top对象和window对象就不相等

此方法不能完全防御，因为iframe的sandbox属性可以设置iframe执行的脚本，也就是可以禁用你的判断跳转而不禁用原有的表单提交

 

2、设置header头X-FRAME-OPTIONS禁止内嵌，兼容到IE8以上的浏览器，所以此方案属于最好的解决方案。

 

3、其他辅助手段，如输入验证码加大点击劫持的成本。