web安全:防范点击劫持的两种方式

Posted Mahmud

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了web安全:防范点击劫持的两种方式相关的知识,希望对你有一定的参考价值。

防范点击劫持的两种方式

什么点击劫持?最常见的是恶意网站使用 <iframe> 标签把我方的一些含有重要信息类如交易的网页嵌入进去,然后把 iframe 设置透明,用定位的手段的把一些引诱用户在恶意网页上点击。这样用户不知不觉中就进行了某些不安全的操作。

有两种方式可以防范:

使用 JS 防范:

if (top.location.hostname !== self.location.hostname) {
    alert("您正在访问不安全的页面,即将跳转到安全页面!");
    top.location.href = self.location.href;
}

 

使用 HTTP 头防范:

通过配置 nginx 发送 X-Frame-Options 响应头,这样浏览器就会阻止嵌入网页的渲染。更详细的可以查阅MDN上关于X-Frame-Options 响应头的内容。

add_header X-Frame-Options SAMEORIGIN;

  

 

以上是关于web安全:防范点击劫持的两种方式的主要内容,如果未能解决你的问题,请参考以下文章

Web安全之点击劫持(ClickJacking)

防范点击劫持

web安全之点击劫持

session劫持防范

《白帽子讲WEB安全》学习笔记之第5章 点击劫持(clickjacking)

安全测试 web安全测试 常规安全漏洞 可能存在SQL和JS注入漏洞场景分析。为什么自己没有找到漏洞,哪么可能存在漏洞场景是?SQL注入漏洞修复 JS注入漏洞修复 漏洞存在场景分析和修复示例(代码片段