点击劫持ClickJacking

• 点击劫持
• 图片覆盖
• 拖拽劫持与数据窃取
• 触屏劫持

• 防御ClickJacking

  • frame busting可以用，但是存在一些缺陷。
    • 通常可以些一段JavaScript代码，以禁止iframe的嵌套。
  • HTTP头X-Frame-Options
    • 有三个可选值:
      DENY
      SAMEORIGIN
      ALLOW-FROM origin
    • 当值为DENY时，浏览器会拒绝当前页面加载任何frame页面；若值为SAMEORIGIN，则frame页面的地址只能为同源域名下的页面；若值为ALLOW-FROM，则可以定义允许frame加载的页面地址。
  • firefox的“Content Security Policy”，以及fixfox的Noscript扩展也能够有效防御ClickJacking，这些方案为我们提供了更多的选择。