通过覆盖不可见的框架误导受害者点击,比如页面上放置一个frame页面,并设置透明度为0,用户点击按钮的时候(该按钮被攻击者精心准备过,模拟原网页的按钮,诱导用户点击)
iframe 透明嵌入到网页中,诱导用户点击
iframe内嵌可以设置 X-Frame-OptionsX-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, <iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。
1
add_header x-frame-options SAMEORIGIN;请求头设置 SAMEORIGIN
DENY
不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许SAMEORIGIN
该页面可以在相同域名页面的frame中展示ALLOW-FROM uri
指定来源的frame中展示,逗号分割设置多选域名1
add_header X-Frame-Options "ALLOW-FROM http://w1.daiwei.com/,https://www.daiwei.site";