每日 30 秒 ⏱ 小姐姐的诱惑

简介

hijack、点击劫持、安全、注入攻击、CSRF

老板今天有 刘备 嘛？这是某个业内黑话，小二来给你解释解释：刘备一直称本身是中山靖王的后代，在曹操把刘备带到朝廷后，汉献帝为了拉拢他，才认他为皇叔，确认了他的身份，简称刘皇(黄)叔(书)。

很多成年雄性 🐒 经常会漫游在黄色丛林中采摘果实，食用完毕后每每会发现 QQ 空间被自动发送了状态等灵异事件，吓得赶忙群发 帐号被盗了，你们不要相信 证实本身真身，其实在除了黄色丛林不少网址都暗藏着很多“危险”。

iframe

在平常使用网站的时候常常会记录登陆状态，方便下次使用不须要输入密码，若是能够用某些方法模拟用户本身打开了网页，是否是也能够在用户不知情的状况下进行关注和发文等操做。一个老旧的 html 标签 iframe 便拥有这个功能，例如嵌入百度贴吧页面：

<iframe src="http://tieba.baidu.com" style="width: 100%;height:100vh"></iframe>
复制代码

勾搭小姐姐

若是你在本地登陆过贴吧，这个时候你便会看到页面里的 iframe 打开了百度贴吧的页面而且你还登陆了，若是这个时候在页面上进行点击关注等操做也会成功。你可能会说我又不笨怎么可能会本身去点击呢？

那若是这个时候 iframe 被设置成透明你还看得出来嘛？再加个诱导你的按钮 勾搭小姐姐 重叠在贴吧点击关注，你这个时候点击了 勾搭小姐姐 是否是就会关注了某个贴吧用户了。这种攻击方法叫作 点击劫持 是否是很形象，利用透明 iframe 劫持了你的点击操做。

凶狠小姐姐

这里只是简单介绍了一下 点击劫持 的概念，若是去调用一些危险操做的页面（转帐，付款，重置密码，注销帐号），在开通小额免密支付的状况下，也许会在彻底不知情的状况带来不少损失（肾重操做）。

它还能配合一些其余攻击完成更复杂的操做，好比以前 你们一块儿被捕吧 提到的 JavaScript 注入攻击 也能够配合 点击劫持 和 复制黏贴，来诱导你进行文本输入并提交文本到被攻击站点。甚至能够利用 iframe 来作到绕过 CSRF 进行对站点进行攻击，这些安全相关的知识感兴趣你们能够本身查阅。

再见小姐姐

X-FRAME-OPTIONS

X-FRAME-OPTIONS 是微软提出的一个http头，专门用来防护利用iframe嵌套的点击劫持攻击。它有三个可选值：

值	解释
DENY	拒绝任何域加载
SAMEORIGIN	容许同源域下加载
ALLOW-FROM	能够定义容许frame加载的页面地址

关注小二的同窗知道小二很喜欢泡在掘金，为何此次举例是贴吧而不是 掘金 呢？由于掘金利用了 X-FRAME-OPTIONS 来防止本身被非同源网站 iframe 引入，不信你能够试试看。相信你也会获得和我同样的页面提示：

增长操做难度

既然 点击劫持 是利用了用户无心识的点击操做，能够增长用户的操做难度来让劫持变难。例如在高危险操做使用验证码，在面对存在验证码的页面时，用户看不到这个透明页面，确定是不会输入验证码的，能够防止点击劫持形成危害。

脚本防御

可使用 JavaScript 代码防止被 iframe 嵌套，这种方法叫作 frame busting。例如判断上级 location 是否是与本身同样：

if ( top.location != location ) {
    top.location = self.location;
}
复制代码

不过这种方法很容易被绕过，好比使用 iframe 的 sandbox 的属性能够阻止被攻击网站执行脚本，或者多层嵌套的 iframe。

改变本身

固然不是每一个网站都会像 掘金 这样帮助咱们防止 点击劫持，咱们也能够改变本身来解决这个问题。最简单的方式告别小姐姐，从源头上解决被恶意的人盯上。

固然你若是离不开小姐姐能够给浏览器装上插件，例如谷歌浏览器的 No-Script Suite Lite，能够添加你信任的网址到白名单之中，其余网址将被禁止脚本等操做。

一块儿成长

在困惑的城市里总少不了并肩同行的 伙伴 让咱们一块儿成长。

• 若是您想让更多人看到文章能够点个 点赞。
• 若是您想激励小二能够到 Github 给个 小星星。
• 若是您想与小二更多交流添加微信 m353839115。

本文原稿来自 PushMeTop