web 点击劫持

跨浏览器攻击漏洞将带来非常可怕的安全问题，该漏洞影响所有主流桌面平台，包括，IE,Firefox,Safari,Opera以及AdobeFlash。

有一天使用常用扫描工具来扫描指定网址漏洞（允许的安全研究测试），如Acunetix Web Vulnerability Scanner 等 发现点击劫持漏洞

服务器没有返回X-Frame-Options标头，这意味着该网站可能面临点击劫持攻击的风险。 X-Frame-Options HTTP响应头可用于指示是否应允许浏览器在框架或iframe内呈现页面。 站点可以通过确保其内容未嵌入到其他站点中来避免点击劫持攻击。点击劫持（ClickJacking）是一种视觉上的欺骗手段。如误导别人已经被黑：

hacked by white

 

大概有两种方式，一是攻击者使用一个透明的iframe，覆盖在一个网页上，然后诱使用户在该页面上进行操作，此时用户将在不知情的情况下点击透明的iframe页面；二是攻击者使用一张图片覆盖在网页，遮挡网页原有位置的含义

如一个简单的测试代码：

     
           
你中奖了！！

          兑奖
          
     

引导你点击到另一个网址，在实际应用中往往是钓鱼网站等等，甚至可以获取用户信息、管理员权限等

 

解决办法

使用一个HTTP头——X-Frame-Options。X-Frame-Options可以说是为了解决ClickJacking而生的，它有三个可选的值：

DENY：浏览器会拒绝当前页面加载任何frame页面；

SAMEORIGIN：frame页面的地址只能为同源域名下的页面；

ALLOW-FROM origin：允许frame加载的页面地址；

PS：浏览器支持情况：IE8+、Opera10+、Safari4+、Chrome4.1.249.1042+、Firefox3.6.9。