防範點擊劫持

阿新 • • 發佈：2018-04-06

.com iframe 嵌入 alert pan hud OS != pre

什麽點擊劫持？最常見的是惡意網站使用 <iframe> 標簽把我方的一些含有重要信息類如交易的網頁嵌入進去，然後把 iframe 設置透明，用定位的手段的把一些引誘用戶在惡意網頁上點擊。這樣用戶不知不覺中就進行了某些不安全的操作。

判斷頂層視口的域名是不是和本頁面的域名一致，如果不一致就讓惡意網頁自動跳轉到我方的網頁。當然你還可以惡心一下這些惡意網站，比如說彈窗十幾次，或者跳轉到某些404頁面。

if (top.location.hostname !== self.location.hostname) {
    alert("您正在訪問不安全的頁面，即將跳轉到安全頁面！");
    top.location.href  
= self.location.href;
}

通過配置 nginx 發送 X-Frame-Options 響應頭，這樣瀏覽器就會阻止嵌入網頁的渲染。

add_header X-Frame-Options SAMEORIGIN;

原文鏈接：

1、【前端安全：防範點擊劫持的兩種方式】https://github.com/isLishude/blog/issues/126

防範點擊劫持

.com iframe 嵌入 alert pan hud OS != pre 一、點擊劫持什麽點擊劫持？最常見的是惡意網站使用 <iframe> 標簽把我方的一些含有重要信息類如交易的網頁嵌入進去，然後把 iframe 設置透明，用定位的手段的把一些引誘用戶在