文章不易,请关注公众号 毛毛虫的小小蜡笔,多多支持,谢谢。
概述
clickjacking,中文叫点击劫持。
是一种在网页中将恶意代码等隐藏在看起来安全的内容之下,并诱使用户点击的手段。
比如,
用户收到一封包含一段视频的电子邮件,但其中的“播放”按钮并不是真正的播放视频,而是链入一购物网站。
当用户点击“播放”按钮,实际是被诱骗进入了一个购物网站。
可简单的理解,clickjacking就是攻击网站嵌套了正常网站。
Demo
代码如下所示:
// 攻击网站
<head>
<meta charset="utf-8">
<title>clickjacking</title>
</head>
<body>
<p>攻击网站</p>
<iframe src="http://localhost:3001/clickjacking.html"></iframe>
</body>
// 正常网站
<head>
<meta charset="utf-8">
<title>clickjacking</title>
</head>
<body>
<p>正常网站</p>
</body>效果如下截图所示:
防御
基本就是怎么防止网站被别人嵌套。
详情 请查看:毛毛虫的小小蜡笔
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。