防范點擊劫持的兩種方式
什么點擊劫持?最常見的是惡意網站使用 <iframe> 標簽把我方的一些含有重要信息類如交易的網頁嵌入進去,然后把 iframe 設置透明,用定位的手段的把一些引誘用戶在惡意網頁上點擊。這樣用戶不知不覺中就進行了某些不安全的操作。
有兩種方式可以防范:
使用 JS 防范:
if (top.location.hostname !== self.location.hostname) {
alert("您正在訪問不安全的頁面,即將跳轉到安全頁面!");
top.location.href = self.location.href;
}
使用 HTTP 頭防范:
通過配置 nginx 發送 X-Frame-Options 響應頭,這樣瀏覽器就會阻止嵌入網頁的渲染。更詳細的可以查閱MDN上關於X-Frame-Options 響應頭的內容。
add_header X-Frame-Options SAMEORIGIN;