摘要:
WHATWG的HTML5文档开发者版本中举例提到了预防clickjacking的一个小技巧,即通过判断点击的页面是属于主窗口还是iframe框架中的子窗口,达到防止攻击者给用户呈现一个虚假的主窗口来引诱用户点击从而进一步获取信息。以jsfiddle.net为例,我们挑选供javascript输入的iframe框与主窗口之间进行对比:首先,在iframe中输入console.log(top);console.log(self);console.log(top==self);运行后结果是Window jsfiddle.netWindow /_display/false而将同样的代码输入到主窗口下的 阅读全文
