极客时间返利平台,你可以在上边通过山月的链接购买课程,并添加我的微信 (shanyue94) 领取返现。

# 什么是点击劫持(ClickJacking),如何预防

Issue

欢迎在 Gtihub Issue 中回答此问题: Issue 676 (opens new window)

可以使用 HTTP X-Frame-Options 响应头以及 CSP: frame-ancestors 指令,避免自己网站被当做 iframe 嵌入到非法网站引导用户点击

X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN

或者使用 CSP 的指令 frame-ancestors 进行预防

Content-Security-Policy: frame-ancestors 'none';
Content-Security-Policy: frame-ancestors 'self' https://www.example.org;

同时,也可以使用 Javascript 进行控制,当发现自身网站置于 iframe 中时,将不予展现

<head> </head>
<body>
  <script>
    // 如果发现现在是在 iframe 中
    if (self !== top) {
      document.write("");
    }
  </script>
</body>

Last Updated: 11/27/2021, 6:11:48 PM