一、点击劫持是什么?
点击劫持,也称为UI覆盖攻击 。
二、攻击原理
1.黑客创建一个网页利用iframe包含目标网站,隐藏目标网站,引诱用户点击特定链接或者按钮
2、用户不知情的情况下点击按钮,进行危险操作
三、如何防护
使用HHTP头-X-frame-Options。
可选值:
DENY: 拒绝任何freme页面
SAMEORIGIN: frame页面地址只能为同源域名下面
ALLOW-FORM origin:y允许frame加载的页面地址
nginx配置:
add_header X-frame-Options: SAMEORIGIN;
