- 介绍关于clickjacking:
在网页设计中,我们可能有过这样的想法, 在自己的网页中使用iframe嵌套别人的web page,
然后使用另一个透明的iframe覆盖别人web page的某些按钮, 或者有意义的点击区域, 然后当用户点击的时候, 就可以劫持用户的行为, 窃取用户的信息。
当然如果是我们自己的web page被攻击了肯定是不开心的, 比较推荐的解决方案是使用一个叫做X-FRAME-OPTIONS的http头部,来定义是否允许别人的iframe加载。
这个头有三个值。
DENY // 拒绝任何域加载 SAMEORIGIN // 允许同源域下加载 ALLOW-FROM // 可以定义允许frame加载的页面地址
