点击劫持

发表于 2023-11-01 分类于网站攻击与防御阅读次数： Valine：
本文字数： 214 阅读时长 ≈ 1 分钟

点击劫持是在页面上铺一层透明的iframe，使得点击的时候实际点到的是那层透明的iframe，然后使得iframe中的操作触发。

可以使用X-Frame-Options，有三个可选值
- DENY 拒绝当前页面加载任何frame页面
- SAMEORIGIN frame页面的地址只能为同源域名下的页面
- ALLOW-FROM origin 定义允许frame加载的页面地址
可以使用CSP(Content Security Policy)

欢迎关注我的其它发布渠道

java后端开发的心酸历程，后端知识点太多太杂了，啥也得知道点。
愿IT圈无猝死、无ICU、无996；
愿程序员、产品经理、测试可以和睦相处；
愿bug无处可藏，慢慢变少

GitHub Gitee E-Mail