点击劫持 click jacking
通过iframe加载被攻击网站到黑客自己维护的网站
通过z-index叠加和position定位,将2个网站的信息堆叠在一个立体投影面上,通过opacity设置透明度。
诱导普通用户点击按钮。
防御:
js防御:
if (top.location != self.location) {top.location=self.location;}
最有效防御:
X-FRAME-OPTIONS是微软提出的一个http头,专门用来防御利用iframe嵌套的点击劫持攻击
php中设置:header("X-FRAME-OPTIONS:DENY");
DENY:拒绝任何域加载
SAMEORIGIN :允许同源域下加载
ALLOW-FROM:可以定义允许frame加载的页面地址