码迷,mamicode.com
首页 > 其他好文 > 详细

防范点击劫持

时间:2018-04-06 22:38:06      阅读:222      评论:0      收藏:0      [点我收藏+]

标签:网站   title   .com   origin   hud   log   http   点击劫持   iss   

一、点击劫持

什么点击劫持?最常见的是恶意网站使用 <iframe> 标签把我方的一些含有重要信息类如交易的网页嵌入进去,然后把 iframe 设置透明,用定位的手段的把一些引诱用户在恶意网页上点击。这样用户不知不觉中就进行了某些不安全的操作。

 

二、使用JS防范

判断顶层视口的域名是不是和本页面的域名一致,如果不一致就让恶意网页自动跳转到我方的网页。当然你还可以恶心一下这些恶意网站,比如说弹窗十几次,或者跳转到某些404页面。

if (top.location.hostname !== self.location.hostname) {
    alert("您正在访问不安全的页面,即将跳转到安全页面!");
    top.location.href = self.location.href;
}

 

三、使用 HTTP 头防范

通过配置 nginx 发送 X-Frame-Options 响应头,这样浏览器就会阻止嵌入网页的渲染。

add_header X-Frame-Options SAMEORIGIN;

 

原文链接:

1、【前端安全:防范点击劫持的两种方式】https://github.com/isLishude/blog/issues/126

 

防范点击劫持

标签:网站   title   .com   origin   hud   log   http   点击劫持   iss   

原文地址:https://www.cnblogs.com/yanmuxiao/p/8728954.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!