点击劫持特点:
用户亲自操作
用户不知情
实现原理:
利用iframe,在攻击网站让用户点击隐藏的iframe目标页面。
防御策略:
1、Javascript禁止内嵌,利用top对象和window对象判断是否被嵌套,然后页面进行跳转。
正常页面top对象和window对象是相等的
被iframe嵌入了页面,那么top对象和window对象就不相等
此方法不能完全防御,因为iframe的sandbox属性可以设置iframe执行的脚本,也就是可以禁用你的判断跳转而不禁用原有的表单提交
2、设置header头X-FRAME-OPTIONS禁止内嵌,兼容到IE8以上的浏览器,所以此方案属于最好的解决方案。
3、其他辅助手段,如输入验证码加大点击劫持的成本。