摘要:
除了XSS和CSRF之外,还有一个被称为ClickJacking的web安全漏洞常常被大家遗忘,但绝对不能忽略。点击劫持(ClickJacking)是一种视觉上的欺骗手段。大概有两... 除了XSS和CSRF之外,还有一个被称为ClickJacking的web安全漏洞常常被大家遗忘,但绝对不能忽略。
点击劫持(ClickJacking)是一种视觉上的欺骗手段。大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义;
<style id =“antiClickjack”>
body {
display: none;
}
</style><script type="text/javascript">
if (self == top) {
var theBody = document.getElementsByTagName('body')[0];
theBody.style.display = "block";
} else {
top.location = self.location;
}
</script>
还没有评论,来说两句吧...