点击劫持防御介绍此备忘单的主要目的是为开发者提供点击劫持/UI纠正攻击的防御指导。抵御“点击劫持”攻击的最普遍的方法是通过各种形式的“嵌入阻断”功能,防止攻击者通过iframe将你的站点嵌入他们的页面。本备忘单将讨论实现嵌入阻断的两种方式:第一种是X-Frame-Options头信息(可能有些浏览器不支持);第二种方式是使用javascript编写嵌入阻断代码。使用X-Frame-Options 响应头信息来防御X-Frame-Options HTTP响应头能用来向浏览器指明是否允许渲染在<frame>或<frame>标签内的页面。网站可以用它来确保网站内容不被嵌入到其他站点,从而避免遭受点击劫持攻击。X-Frame-Options响应头类型X-Frame-Options头信息有三种可用
发布时间:
2013-06-01 11:30 |
阅读:773589 | 评论:0 |
标签:无