web安全学习笔记之-点击劫持

点击劫持原理本质就是利用iframe实现了障眼法

这是比CSRF更高级的手法。可以通过一连串的欺骗让用户把需要交互的请求给伪造了。

也有人用类似障眼法当作trick去实现正常功能的，印象中QQ邮箱的一个前端分享就介绍过这样的手法实现一个非常规大杀器功能。

flash的点击劫持还能实现打开用户电脑的摄像头。

图片劫持XSIO ，用户输入的html代码里 如果允许浮出来，位置如果调整到logo位置，会起到欺骗目的。

现在出现了拖拽劫持、触屏劫持。总之就是凡是可以欺骗眼睛的交互都可以被利用。

tapjacking例如:http://hi.baidu.com/fonfonwanmei/item/ea905d1cf3ca35741109b5cf

各种劫持都很依赖iframe

所以防御劫持的方式比较直接是禁止跨域的iframe。

1、frame busting是一段javascript代码，禁止iframe的嵌套，只是能被多级嵌套的方式绕过。

2、x-frame-options  ,依赖浏览器的实现，当http头给出这个选项是deny的设定后，浏览器不允许嵌套iframe。量身定做的防止点击劫持手段