點擊劫持漏洞
X-Frame-Options HTTP 響應頭, 可以指示瀏覽器是否應該加載一個 iframe 中的頁面。 網站可以通過設置 X-Frame-Options 阻止站點內的頁面被其他頁面嵌入從而防止點擊劫持
方法一:常見的比如使用js,判斷頂層窗口跳轉:
js 代碼:
(function () {
if (window != window.top) {
window.top.location.replace(window.location); //或者干別的事情
}
})();
一般這樣夠用了,但是有一次發現失效了,看了一下人家網站就是頂層窗口中的代碼,發現這段代碼:
js 代碼: var location = document.location; // 或者 var location = "";
輕輕松松被破解了,悲劇。
注:此方式破解對IE6,IE7,IE9+、Chrome、firefox無效
方法二:meta 標簽:基本沒什么效果,所以也放棄了:
html 代碼: <meta http-equiv="Windows-Target" contect="_top">
方法三:使用HTTP 響應頭信息中的 X-Frame-Options屬性
使用 X-Frame-Options 有三個可選的值:
- DENY:瀏覽器拒絕當前頁面加載任何Frame頁面
- SAMEORIGIN:frame頁面的地址只能為同源域名下的頁面
- ALLOW-FROM:origin為允許frame加載的頁面地址
換一句話說,如果設置為 DENY,不光在別人的網站 frame 嵌入時會無法加載,在同域名頁面中同樣會無法加載。另一方面,如果設置為 SAMEORIGIN,那么頁面就可以在同域名頁面的 frame 中嵌套
絕大部分瀏覽器支持:
| Feature | Chrome | Firefox (Gecko) | Internet Explorer | Opera | Safari |
|---|---|---|---|---|---|
| Basic support | 4.1.249.1042 | 3.6.9 (1.9.2.9) | 8.0 | 10.5 | 4.0 |
配置 Apache
配置 Apache 在所有頁面上發送 X-Frame-Options 響應頭,需要把下面這行添加到 'site' 的配置中:
Header always append X-Frame-Options SAMEORIGIN
配置 nginx
配置 nginx 發送 X-Frame-Options 響應頭,把下面這行添加到 'http', 'server' 或者 'location' 的配置中:
add_header X-Frame-Options SAMEORIGIN;
配置 IIS
配置 IIS 發送 X-Frame-Options 響應頭,添加下面的配置到 Web.config 文件中:
<system.webServer>
...
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
...
</system.webServer>
結果
在 Firefox 嘗試加載 frame 的內容時,如果 X-Frame-Options 響應頭設置為禁止訪問了,那么 Firefox 會用 about:blank 展現到 frame 中。也許從某種方面來講的話,展示為錯誤消息會更好一點。