界面操做劫持攻击原理与防护方法

1. 攻击原理

界面劫持，分为点击劫持、拖放劫持、触屏劫持。就是咱们的点击，拖放，触屏操做被劫持了，而去操做了其它的透明隐藏的界面。其原理是利用透明层+iframe,使用了css中的opacity和z-index等属性，来到达透明和位于其它界面的上方，而后使用iframe来嵌入劫持页面。到达了用户操做的不是它看到的，不是他觉得的那个界面，而是那个透明的位于上层的界面。

2. 防护方法

有重要会话的交互页面不容许使用iframe嵌入，或者值容许被同域的iframe嵌入。

2.1 X-Frame-Options

在web server端给Http响应头中加入一个X-Frame-Options头，取值有 "DENY" 和 "SAMEORIGIN"，分别表示不能使用iframe和只能使用同域的iframe。

2.2 Frame Busting脚本防护

if(top.location != self.location){
    top.location = self.location;
}

禁止iframe的嵌套。

3. 有价值的参考连接

http://blog.csdn.net/hfahe/article/details/8138728

http://bbs.pediy.com/showthread.php?p=1360094

http://blog.avlyun.com/2014/03/254/%E8%AD%A6%E6%83%95%E5%8F%A6%E7%B1%BBactivity%E5%8A%AB%E6%8C%81/

4. web安全的参考书籍

《XSS跨站脚本攻击剖析与防护》

《Web前端黑客技术揭秘》

《白帽子讲Web安全》