读白帽子web安全笔记

点击劫持

• frame buseting

if (top.location != location) {
    top.location = self.location  
}

html5的sandbox属性       和iframe 的security属性   可以使frame busting失效

• X-Frame-Options    http头

　　　　DENY　　　　　　　　拒绝当前页面加载任何frame

　　　　SAMEORIGIN 　　　    frame只能加载同源域名页面

　　　　ALLOW-FROM  　　　 允许加载所有frame