# 原理
用户在登陆 A 网站的系统后,被攻击者诱惑打开第三方网站,而第三方网站通过 iframe 引入了 A 网站的页面内容,用户在第三方网站中点击某个按钮(被装饰的按钮),实际上是点击了 A 网站的按钮。
# 实现
<!DOCTYPE html>
<html lang="zh">
<head>
<meta charset="UTF-8">
<title>点击劫持</title>
</head>
<body style="background: url(bg.jpg) no-repeat;">
<iframe style="opacity: 0" src="http://localhost:8080/article/articleList" width="740" height="460"></iframe>
</body>
</html>
# 防御
X-FRAME-OPTIONS 禁止内嵌
X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame> 或者 <object> 中展现的标记。(推荐使用)
← 跨域不带cookie问题 CSRF 攻击 →