读白帽子web安全笔记

标签：frame   加载   log   -o   web安全   html   option   sel   ons   

点击劫持

• frame buseting

if (top.location != location) {
    top.location = self.location  
}

html5的sandbox属性       和iframe 的security属性   可以使frame busting失效

• X-Frame-Options    http头

　　　　DENY　　　　　　　　拒绝当前页面加载任何frame

　　　　SAMEORIGIN 　　　    frame只能加载同源域名页面

　　　　ALLOW-FROM  　　　 允许加载所有frame

读白帽子web安全笔记

标签：frame   加载   log   -o   web安全   html   option   sel   ons   

原文地址：http://www.cnblogs.com/pengcz/p/7294069.html