点击劫持
- frame buseting
if (top.location != location) { top.location = self.location }
html5的sandbox属性 和iframe 的security属性 可以使frame busting失效
- X-Frame-Options http头
DENY 拒绝当前页面加载任何frame
SAMEORIGIN frame只能加载同源域名页面
ALLOW-FROM 允许加载所有frame
点击劫持
if (top.location != location) { top.location = self.location }
html5的sandbox属性 和iframe 的security属性 可以使frame busting失效
DENY 拒绝当前页面加载任何frame
SAMEORIGIN frame只能加载同源域名页面
ALLOW-FROM 允许加载所有frame