web安全-点击劫持

时间:2023-03-10 07:24:21
web安全-点击劫持

web安全-点击劫持

opacity=0

iframe是目标网站 被内嵌了

1.用户亲手操作 盗取用户

视频

2.用户不知情

>* 引导点击 其实点击的是覆盖在下面opacity=0的iframe

3.code

<body style="background: url(clickhijack.png) no-repeat">

    <iframe src="http://localhost:1521/post/15" width="800" height="600"></iframe>

</body>

4.点击劫持防御

>* javascript禁止内嵌

>* X-FRAME-OPTIONS禁止内嵌

5.防止方法

if(top.location !== window.location){

    top.location = window.location;

}

6.http头处理

header('X-FRAME-OPTIONS: DENY')

相关文章