1. 攻击原理
界面劫持,分为点击劫持、拖放劫持、触屏劫持。就是我们的点击,拖放,触屏操作被劫持了,而去操作了其它的透明隐藏的界面。其原理是利用透明层+iframe,使用了css中的opacity和z-index等属性,来到达透明和位于其它界面的上方,然后使用iframe来嵌入劫持页面。到达了用户操作的不是它看到的,不是他以为的那个界面,而是那个透明的位于上层的界面。
2. 防御方法
有重要会话的交互页面不允许使用iframe嵌入,或者值允许被同域的iframe嵌入。
2.1 X-Frame-Options
在web server端给Http响应头中加入一个X-Frame-Options头,取值有 "DENY" 和 "SAMEORIGIN",分别表示不能使用iframe和只能使用同域的iframe。
2.2 Frame Busting脚本防御
if(top.location != self.location){ top.location = self.location; }
禁止iframe的嵌套。
3. 有价值的参考链接
http://blog.csdn.net/hfahe/article/details/8138728
http://bbs.pediy.com/showthread.php?p=1360094
http://blog.avlyun.com/2014/03/254/%E8%AD%A6%E6%83%95%E5%8F%A6%E7%B1%BBactivity%E5%8A%AB%E6%8C%81/
4. web安全的参考书籍
《XSS跨站脚本攻击剖析与防御》
《Web前端黑客技术揭秘》
《白帽子讲Web安全》