不少成年雄性 ?? 常常会漫游在黄色丛林中采摘果实，食用完毕后往往会发现 QQ 空间被自动发送了状态等灵异事件，吓得赶紧群发 账号被盗了，大家不要相信 证实自己真身，其实在除了黄色丛林很多网址都暗藏着不少“危险”。

iframe

在日常使用网站的时候经常会记录登录状态，方便下次使用不需要输入密码，假如可以用某些方法模拟客户自己打开了网页，是不是也可以在客户不知情的情况下进行关注和发文等操作。一个老旧的 html 标签 iframe 便拥有这个功能，例如嵌入百度贴吧页面：

勾搭小姐姐

假如你在本地登录过贴吧，这个时候你便会看到页面里的 iframe 打开了百度贴吧的页面并且你还登录了，假如这个时候在页面上进行点击关注等操作也会成功。你可能会说我又不笨怎样可能会自己去点击呢？

那假如这个时候 iframe 被设置成透明你还看得出来嘛？再加个诱导你的按钮 勾搭小姐姐 重叠在贴吧点击关注，你这个时候点击了 勾搭小姐姐 是不是就会关注了某个贴吧客户了。这种攻击方法叫做 点击劫持 是不是很形象，利用透明 iframe 劫持了你的点击操作。

凶狠小姐姐

这里只是简单详情了一下 点击劫持 的概念，假如去调用少量危险操作的页面（转账，付款，重置密码，注销账号），在开通小额免密支付的情况下，也许会在完全不知情的情况带来很多损失（肾重操作）。

它还能配合少量其余攻击完成更复杂的操作，比方之前 大家一起被捕吧 提到的 JavaScript 注入攻击 也可以配合 点击劫持 和 复制黏贴，来诱导你进行文本输入并提交文本到被攻击站点。甚至可以利用 iframe 来做到绕过 CSRF 进行对站点进行攻击，这些安全相关的知识感兴趣大家可以自己查阅。

再见小姐姐

X-FRAME-OPTIONS

X-FRAME-OPTIONS 是微软提出的一个http头，专门用来防御利用iframe嵌套的点击劫持攻击。它有三个可选值：

添加操作难度

既然 点击劫持 是利用了客户无意识的点击操作，可以添加客户的操作难度来让劫持变难。例如在高危险操作使用验证码，在面对存在验证码的页面时，客户看不到这个透明页面，一定是不会输入验证码的，可以防止点击劫持造成危害。

脚本防护

可以使用 JavaScript 代码防止被 iframe 嵌套，这种方法叫做 frame busting。例如判断上级 location 是不是与自己一样：

不过这种方法很容易被绕过，比方使用 iframe 的 sandbox 的属性可以阻止被攻击网站执行脚本，或者者多层嵌套的 iframe。

改变自己

当然不是每个网站都会帮助我们防止 点击劫持，我们也可以改变自己来处理这个问题。最简单的方式告别小姐姐，从源头上处理被恶意的人盯上。

当然你假如离不开小姐姐可以给浏览器装上插件，例如谷歌浏览器的 No-Script Suite Lite，可以增加你信任的网址到白名单之中，其余网址将被禁止脚本等操作。

假如你喜欢就留下你的关注和赞吧
想理解更多可以联络我