什么是点击劫持(ClickJacking)，如何预防

Issue 欢迎在 Gtihub Issue 中回答此问题: Issue 676 (opens in a new tab)

Author 回答者: shfshanyue (opens in a new tab)

可以使用 HTTP X-Frame-Options 响应头以及 CSP: frame-ancestors 指令，避免自己网站被当做 iframe 嵌入到非法网站引导用户点击

X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN

或者使用 CSP 的指令 frame-ancestors 进行预防

Content-Security-Policy: frame-ancestors 'none';
Content-Security-Policy: frame-ancestors 'self' https://www.example.org;

同时，也可以使用 Javascript 进行控制，当发现自身网站置于 iframe 中时，将不予展现

<head> </head>
<body>
  <script>
    // 如果发现现在是在 iframe 中
    if (self !== top) {
      document.write("");
    }
  </script>
</body>

Author 回答者: shfshanyue (opens in a new tab)