web安全-点击劫持
opacity=0
iframe是目标网站 被内嵌了
1.用户亲手操作 盗取用户
视频
2.用户不知情
>* 引导点击 其实点击的是覆盖在下面opacity=0的iframe
3.code
<body style="background: url(clickhijack.png) no-repeat">
<iframe src="http://localhost:1521/post/15" width="800" height="600"></iframe>
</body>
4.点击劫持防御
>* javascript禁止内嵌
>* X-FRAME-OPTIONS禁止内嵌
5.防止方法
if(top.location !== window.location){
top.location = window.location;
}
6.http头处理
header('X-FRAME-OPTIONS: DENY')