前端安全：防范点击劫持的两种方式

freewolf 发布于2019-06-21 16:37 / 454人阅读

摘要：近期的工作都和交易有关，写代码都特别谨慎，前面说过前端如何防范跨站请求伪造攻击，这次准备简单说说防范点击劫持。有两种方式可以防范。使用防范判断顶层视口的域名是不是和本页面的域名一致，如果不一致就让恶意网页自动跳转到我方的网页。

近期的工作都和交易有关，写代码都特别谨慎，前面说过前端如何防范跨站请求伪造攻击（CSRF），这次准备简单说说防范点击劫持。

什么点击劫持？最常见的是恶意网站使用 </b> 标签把我方的一些含有重要信息类如交易的网页嵌入进去，然后把 iframe 设置透明，用定位的手段的把一些引诱用户在恶意网页上点击。这样用户不知不觉中就进行了某些不安全的操作。</p> <p><script type="text/javascript">showImg("https://segmentfault.com/img/remote/1460000011635305?w=510&h=462");</script></p> <p>有两种方式可以防范。</p> <b>使用 JS 防范</b> <p>判断顶层视口的域名是不是和本页面的域名一致，如果不一致就让恶意网页自动跳转到我方的网页。当然你还可以恶心一下这些恶意网站，比如说弹窗十几次，或者跳转到某些404页面。</p> <pre>if (top.location.hostname !== self.location.hostname) { alert("您正在访问不安全的页面，即将跳转到安全页面！"); top.location.href = self.location.href; }</pre> <b>使用 HTTP 头防范</b> <p>通过配置 nginx 发送 <b>X-Frame-Options</b> 响应头，这样浏览器就会阻止嵌入网页的渲染。更详细的可以查阅MDN上关于X-Frame-Options 响应头的内容。</p> <pre>add_header X-Frame-Options SAMEORIGIN;</pre> <p>原文首发在我的 github 博客</p> </div> <div class="mt-64 tags-seach" > <div class="tags-info"> <a style="width:120px;" title="GPU云服务器" href="https://www.ucloud.cn/site/product/gpu.html">GPU云服务器</a> <a style="width:120px;" title="云服务器" href="https://www.ucloud.cn/site/active/kuaijiesale.html?ytag=seo">云服务器</a> <a style="width:120px;" title="域名解析的两种主要方式为" href="https://www.ucloud.cn/yun/tag/yumingjiexideliangzhongzhuyaofangshiwei/">域名解析的两种主要方式为</a> <a style="width:120px;" title="json的两种结构】" href="https://www.ucloud.cn/yun/tag/jsondeliangzhongjiegou/">json的两种结构】</a> <a style="width:120px;" title="数据统计的两种方法" href="https://www.ucloud.cn/yun/tag/shujutongjideliangzhongfangfa/">数据统计的两种方法</a> <a style="width:120px;" title="最优生成树的两种算法" href="https://www.ucloud.cn/yun/tag/zuiyoushengchengshudeliangzhongsuanfa/">最优生成树的两种算法</a> </div> </div> <div class="entry-copyright mb-30"> <p class="mb-15"> 文章版权归作者所有，未经允许请勿转载,若此文章存在违规行为，您可以联系管理员删除。</p> <p>转载请注明本文地址：https://www.ucloud.cn/yun/11280.html</p> </div> <ul class="pre-next-page"> <li class="ellipsis"><a class="hpf" href="https://www.ucloud.cn/yun/11279.html">上一篇：为什么InfoSec团队应该拥抱容器？</a></li> <li class="ellipsis"><a class="hpf" href="https://www.ucloud.cn/yun/11281.html">下一篇：应用开发者必须了解的Kubernetes网络二三事</a></li> </ul> </div> <div class="about_topicone-mid"> <h3 class="top-com-title mb-0"><span data-id="0">相关文章</span></h3> <ul class="com_white-left-mid atricle-list-box"> <li> <div class="atricle-list-right"> <h2 class="ellipsis2"><a class="hpf" href="https://www.ucloud.cn/yun/89192.html"><b><em>前端</em><em>安全</em>：<em>防范</em><em>点击</em><em>劫持</em><em>的<em>两种</em></em><em>方式</em></b></a></h2> <p class="ellipsis2 good">摘要：近期的工作都和交易有关，写代码都特别谨慎，前面说过前端如何防范跨站请求伪造攻击，这次准备简单说说防范点击劫持。有两种方式可以防范。使用防范判断顶层视口的域名是不是和本页面的域名一致，如果不一致就让恶意网页自动跳转到我方的网页。近期的工作都和交易有关，写代码都特别谨慎，前面说过前端如何防范跨站请求伪造攻击（CSRF），这次准备简单说说防范点击劫持。什么点击劫持？最常见的是恶意网站使用...</p> <div class="com_white-left-info"> <div class="com_white-left-infol"> <a href="https://www.ucloud.cn/yun/u-928.html"><img src="https://www.ucloud.cn/yun/data/avatar/000/00/09/small_000000928.jpg" alt=""><span class="layui-hide64">Cciradih</span></a> <time datetime="">2019-08-21 17:09</time> <span><i class="fa fa-commenting"></i>评论0</span> <span><i class="fa fa-star"></i>收藏0</span> </div> </div> </div> </li> <li> <div class="atricle-list-right"> <h2 class="ellipsis2"><a class="hpf" href="https://www.ucloud.cn/yun/11209.html"><b>《网络黑白》一书所抄袭的文章列表</b></a></h2> <p class="ellipsis2 good">摘要：网络黑白一书所抄袭的文章列表这本书实在是垃圾，一是因为它的互联网上的文章拼凑而成的，二是因为拼凑水平太差，连表述都一模一样，还抄得前言不搭后语，三是因为内容全都是大量的科普，不涉及技术也没有干货。《网络黑白》一书所抄袭的文章列表这本书实在是垃圾，一是因为它的互联网上的文章拼凑而成的，二是因为拼凑水平太差，连表述都一模一样，还抄得前言不搭后语，三是因为内容全都是大量的科普，不涉及技术...</p> <div class="com_white-left-info"> <div class="com_white-left-infol"> <a href="https://www.ucloud.cn/yun/u-130.html"><img src="https://www.ucloud.cn/yun/data/avatar/000/00/01/small_000000130.jpg" alt=""><span class="layui-hide64">zlyBear</span></a> <time datetime="">2019-06-21 16:31</time> <span><i class="fa fa-commenting"></i>评论0</span> <span><i class="fa fa-star"></i>收藏0</span> </div> </div> </div> </li> <li> <div class="atricle-list-right"> <h2 class="ellipsis2"><a class="hpf" href="https://www.ucloud.cn/yun/101462.html"><b>常见六大Web <em>安全</em>攻防解析</b></a></h2> <p class="ellipsis2 good">摘要：想阅读更多优质原创文章请猛戳博客一，跨站脚本攻击，因为缩写和重叠，所以只能叫。跨站脚本攻击是指通过存在安全漏洞的网站注册用户的浏览器内运行非法的标签或进行的一种攻击。跨站脚本攻击有可能造成以下影响利用虚假输入表单骗取用户个人信息。前言在互联网时代，数据安全与个人隐私受到了前所未有的挑战，各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据？本文主要侧重于分析几种常见的攻击的类型...</p> <div class="com_white-left-info"> <div class="com_white-left-infol"> <a href="https://www.ucloud.cn/yun/u-324.html"><img src="https://www.ucloud.cn/yun/data/avatar/000/00/03/small_000000324.jpg" alt=""><span class="layui-hide64">lidashuang</span></a> <time datetime="">2019-08-23 15:04</time> <span><i class="fa fa-commenting"></i>评论0</span> <span><i class="fa fa-star"></i>收藏0</span> </div> </div> </div> </li> <li> <div class="atricle-list-right"> <h2 class="ellipsis2"><a class="hpf" href="https://www.ucloud.cn/yun/6714.html"><b>【面试篇】寒冬求职之你必须要懂的Web<em>安全</em></b></a></h2> <p class="ellipsis2 good">摘要：禁止内联脚本执行规则较严格，目前发现使用。典型的攻击流程受害者登录站点，并保留了登录凭证。站点接收到请求后，对请求进行验证，并确认是受害者的凭证，误以为是无辜的受害者发送的请求。攻击完成，攻击者在受害者不知情的情况下，冒充受害者完成了攻击。随着互联网的发展，各种Web应用变得越来越复杂，满足了用户的各种需求的同时，各种网络安全问题也接踵而至。作为前端工程师的我们也逃不开这个问题，今天一起...</p> <div class="com_white-left-info"> <div class="com_white-left-infol"> <a href="https://www.ucloud.cn/yun/u-261.html"><img src="https://www.ucloud.cn/yun/data/avatar/000/00/02/small_000000261.jpg" alt=""><span class="layui-hide64">yeyan1996</span></a> <time datetime="">2019-06-18 11:16</time> <span><i class="fa fa-commenting"></i>评论0</span> <span><i class="fa fa-star"></i>收藏0</span> </div> </div> </div> </li> <li> <div class="atricle-list-right"> <h2 class="ellipsis2"><a class="hpf" href="https://www.ucloud.cn/yun/109470.html"><b>【面试篇】寒冬求职之你必须要懂的Web<em>安全</em></b></a></h2> <p class="ellipsis2 good">摘要：禁止内联脚本执行规则较严格，目前发现使用。典型的攻击流程受害者登录站点，并保留了登录凭证。站点接收到请求后，对请求进行验证，并确认是受害者的凭证，误以为是无辜的受害者发送的请求。攻击完成，攻击者在受害者不知情的情况下，冒充受害者完成了攻击。随着互联网的发展，各种Web应用变得越来越复杂，满足了用户的各种需求的同时，各种网络安全问题也接踵而至。作为前端工程师的我们也逃不开这个问题，今天...</p> <div class="com_white-left-info"> <div class="com_white-left-infol"> <a href="https://www.ucloud.cn/yun/u-762.html"><img src="https://www.ucloud.cn/yun/data/avatar/000/00/07/small_000000762.jpg" alt=""><span class="layui-hide64">charles_paul</span></a> <time datetime="">2019-08-26 13:45</time> <span><i class="fa fa-commenting"></i>评论0</span> <span><i class="fa fa-star"></i>收藏0</span> </div> </div> </div> </li> </ul> </div> <div class="topicone-box-wangeditor"> <h3 class="top-com-title mb-64"><span>发表评论</span></h3> <div class="xcp-publish-main flex_box_zd"> <div class="unlogin-pinglun-box"> <a href="javascript:login()" class="grad">登陆后可评论</a> </div> </div> </div> <div class="site-box-content"> <div class="site-content-title"> <h3 class="top-com-title mb-64"><span>0条评论</span></h3> </div> <div class="pages"></ul></div> </div> </div> <div class="layui-col-md4 layui-col-lg3 com_white-right site-wrap-right"> <div class=""> <div class="com_layuiright-box user-msgbox"> <a href="https://www.ucloud.cn/yun/u-1136.html"><img src="https://www.ucloud.cn/yun/data/avatar/000/00/11/small_000001136.jpg" alt=""></a> <h3><a href="https://www.ucloud.cn/yun/u-1136.html" rel="nofollow">freewolf</a></h3> <h6>男<span>|</span>高级讲师</h6> <div class="flex_box_zd user-msgbox-atten"> <a href="javascript:attentto_user(1136)" id="attenttouser_1136" class="grad follow-btn notfollow attention">我要关注</a> <a href="javascript:login()" title="发私信" >我要私信</a> </div> <div class="user-msgbox-list flex_box_zd"> <h3 class="hpf">TA的文章</h3> <a href="https://www.ucloud.cn/yun/ut-1136.html" class="box_hxjz">阅读更多</a> </div> <ul class="user-msgbox-ul"> <li><h3 class="ellipsis"><a href="https://www.ucloud.cn/yun/130755.html">tensorflow1.5</a></h3> <p>阅读 2318<span>·</span>2023-04-25 20:07</p></li> <li><h3 class="ellipsis"><a href="https://www.ucloud.cn/yun/125082.html">Python入门-第一章Python基础（2）</a></h3> <p>阅读 3272<span>·</span>2021-11-25 09:43</p></li> <li><h3 class="ellipsis"><a href="https://www.ucloud.cn/yun/123437.html">AWVS14.1安装</a></h3> <p>阅读 3643<span>·</span>2021-11-16 11:44</p></li> <li><h3 class="ellipsis"><a href="https://www.ucloud.cn/yun/122883.html">#11.11#CUBECLOUD：全场85折优惠，洛杉矶Lite限时20元/月，Pro/Lite年付</a></h3> <p>阅读 2509<span>·</span>2021-11-08 13:14</p></li> <li><h3 class="ellipsis"><a href="https://www.ucloud.cn/yun/122650.html">AppWorks 1.5.0 发布、Parcel 2 发布 | 淘系前端架构周刊 211018 期</a></h3> <p>阅读 3163<span>·</span>2021-10-19 11:46</p></li> <li><h3 class="ellipsis"><a href="https://www.ucloud.cn/yun/121401.html">【程序员必会十大算法】之Kruskal算法</a></h3> <p>阅读 876<span>·</span>2021-09-28 09:36</p></li> <li><h3 class="ellipsis"><a href="https://www.ucloud.cn/yun/120045.html">宝塔Linux面板免费Nginx免费防火墙安装使用教程</a></h3> <p>阅读 2925<span>·</span>2021-09-22 10:56</p></li> <li><h3 class="ellipsis"><a href="https://www.ucloud.cn/yun/119830.html">苹果汽车高管跳槽至福特汽车，将领导开发福特 Blue Oval 智能项目</a></h3> <p>阅读 2346<span>·</span>2021-09-10 10:51</p></li> </ul> </div>  <div class="com_layuiright-box"> <h6 class="top-com-title"><span>最新活动</span></h6> <div class="com_adbox"> <div class="layui-carousel" id="right-item"> <div carousel-item> <div> <a href="https://www.ucloud.cn/site/active/kuaijiesale.html?ytag=seo" rel="nofollow"> <img src="https://www.ucloud.cn/yun/data/attach/240625/2rTjEHmi.png" alt="云服务器"> </a> </div> <div> <a href="https://www.ucloud.cn/site/product/gpu.html" rel="nofollow"> <img src="https://www.ucloud.cn/yun/data/attach/240807/7NjZjdrd.png" alt="GPU云服务器"> </a> </div> </div> </div> </div>  <div class="adhtml"> </div> <script> $(function(){ $.ajax({ type: "GET", url:"https://www.ucloud.cn/yun/ad/getad/1.html", cache: false, success: function(text){ $(".adhtml").html(text); } }); }) </script> </div> </div> </div> </div> </div> </section>  <div class="site-tree-mobile layui-hide"> <i class="layui-icon layui-icon-spread-left"></i> </div>  <div class="site-mobile-shade"></div>  <div id="payread"> <div class="layui-form-item">阅读需要支付1元查看</div> <div class="layui-form-item"><button class="btn-right">支付并查看</button></div> </div> <script> var prei=0; $(".site-seo-depict pre").each(function(){ var html=$(this).html().replace("<code>","").replace("</code>","").replace('<code class="javascript hljs" codemark="1">',''); $(this).attr('data-clipboard-text',html).attr("id","pre"+prei); $(this).html("").append("<code>"+html+"</code>"); prei++; }) $(".site-seo-depict img").each(function(){ if($(this).attr("src").indexOf('data:image/svg+xml')!= -1){ $(this).remove(); } }) $("LINK[href*='style-49037e4d27.css']").remove(); $("LINK[href*='markdown_views-d7a94ec6ab.css']").remove(); layui.use(['jquery', 'layer','code'], function(){ $("pre").attr("class","layui-code"); $("pre").attr("lay-title",""); $("pre").attr("lay-skin",""); layui.code(); $(".layui-code-h3 a").attr("class","copycode").html("复制代码 ").attr("onclick","copycode(this)"); }); function copycode(target){ var id=$(target).parent().parent().attr("id"); var clipboard = new ClipboardJS("#"+id); clipboard.on('success', function(e) { e.clearSelection(); alert("复制成功") }); clipboard.on('error', function(e) { alert("复制失败") }); } //$(".site-seo-depict").html($(".site-seo-depict").html().slice(0, -5)); </script> <link rel="stylesheet" type="text/css" href="https://www.ucloud.cn/yun/static/js/neweditor/code/styles/tomorrow-night-eighties.css"> <script src="https://www.ucloud.cn/yun/static/js/neweditor/code/highlight.pack.js" type="text/javascript"></script> <script src="https://www.ucloud.cn/yun/static/js/clipboard.js"></script> <script>hljs.initHighlightingOnLoad();</script> <script> function setcode(){ var _html=''; document.querySelectorAll('pre code').forEach((block) => { var _tmptext=$.trim($(block).text()); if(_tmptext!=''){ _html=_html+_tmptext; console.log(_html); } }); } </script> <script> function payread(){ layer.open({ type: 1, title:"付费阅读", shadeClose: true, content: $('#payread') }); } // 举报 function jupao_tip(){ layer.open({ type: 1, title:false, shadeClose: true, content: $('#jubao') }); } $(".getcommentlist").click(function(){ var _id=$(this).attr("dataid"); var _tid=$(this).attr("datatid"); $("#articlecommentlist"+_id).toggleClass("hide"); var flag=$("#articlecommentlist"+_id).attr("dataflag"); if(flag==1){ flag=0; }else{ flag=1; //加载评论 loadarticlecommentlist(_id,_tid); } $("#articlecommentlist"+_id).attr("dataflag",flag); }) $(".add-comment-btn").click(function(){ var _id=$(this).attr("dataid"); $(".formcomment"+_id).toggleClass("hide"); }) $(".btn-sendartcomment").click(function(){ var _aid=$(this).attr("dataid"); var _tid=$(this).attr("datatid"); var _content=$.trim($(".commenttext"+_aid).val()); if(_content==''){ alert("评论内容不能为空"); return false; } var touid=$("#btnsendcomment"+_aid).attr("touid"); if(touid==null){ touid=0; } addarticlecomment(_tid,_aid,_content,touid); }) $(".button_agree").click(function(){ var supportobj = $(this); var tid = $(this).attr("id"); $.ajax({ type: "GET", url:"https://www.ucloud.cn/yun/index.php?topic/ajaxhassupport/" + tid, cache: false, success: function(hassupport){ if (hassupport != '1'){ $.ajax({ type: "GET", cache:false, url: "https://www.ucloud.cn/yun/index.php?topic/ajaxaddsupport/" + tid, success: function(comments) { supportobj.find("span").html(comments+"人赞"); } }); }else{ alert("您已经赞过"); } } }); }); function attenquestion(_tid,_rs){ $.ajax({ //提交数据的类型 POST GET type:"POST", //提交的网址 url:"https://www.ucloud.cn/yun/favorite/topicadd.html", //提交的数据 data:{tid:_tid,rs:_rs}, //返回数据的格式 datatype: "json",//"xml", "html", "script", "json", "jsonp", "text". //在请求之前调用的函数 beforeSend:function(){}, //成功返回之后调用的函数 success:function(data){ var data=eval("("+data+")"); console.log(data) if(data.code==2000){ layer.msg(data.msg,function(){ if(data.rs==1){ //取消收藏 $(".layui-layer-tips").attr("data-tips","收藏文章"); $(".layui-layer-tips").html('<i class="fa fa-heart-o"></i>'); } if(data.rs==0){ //收藏成功 $(".layui-layer-tips").attr("data-tips","已收藏文章"); $(".layui-layer-tips").html('<i class="fa fa-heart"></i>') } }) }else{ layer.msg(data.msg) } } , //调用执行后调用的函数 complete: function(XMLHttpRequest, textStatus){ postadopt=true; }, //调用出错执行的函数 error: function(){ //请求出错处理 postadopt=false; } }); } </script> <footer> <div class="layui-container"> <div class="flex_box_zd"> <div class="left-footer"> <h6><a href="https://www.ucloud.cn/"><img src="https://www.ucloud.cn/yun/static/theme/ukd//images/logo.png" alt="UCloud （优刻得科技股份有限公司）"></a></h6> <p>UCloud （优刻得科技股份有限公司）是中立、安全的云计算服务平台，坚持中立，不涉足客户业务领域。公司自主研发IaaS、PaaS、大数据流通平台、AI服务平台等一系列云计算产品，并深入了解互联网、传统企业在不同场景下的业务需求，提供公有云、混合云、私有云、专有云在内的综合性行业解决方案。</p> </div> <div class="right-footer layui-hidemd"> <ul class="flex_box_zd"> <li> <h6>UCloud与云服务</h6> <p><a href="https://www.ucloud.cn/site/about/intro/">公司介绍</a></p> <p><a href="https://zhaopin.ucloud.cn/" >加入我们</a></p> <p><a href="https://www.ucloud.cn/site/ucan/onlineclass/">UCan线上公开课</a></p> <p><a href="https://www.ucloud.cn/site/solutions.html" >行业解决方案</a></p> <p><a href="https://www.ucloud.cn/site/pro-notice/">产品动态</a></p> </li> <li> <h6>友情链接</h6> <p><a href="https://www.compshare.cn/?ytag=seo">GPU算力平台</a></p> <p><a href="https://www.ucloudstack.com/?ytag=seo">UCloud私有云</a></p> <p><a href="https://www.surfercloud.com/">SurferCloud</a></p> <p><a href="https://www.uwin-link.com/">工厂仿真软件</a></p> <p><a href="https://pinex.it/">Pinex</a></p> <p><a href="https://www.picpik.ai/zh">AI绘画</a></p> </li> <li> <h6>社区栏目</h6> <p><a href="https://www.ucloud.cn/yun/column/index.html">专栏文章</a></p> <p><a href="https://www.ucloud.cn/yun/udata/">专题地图</a></p> </li> <li> <h6>常见问题</h6> <p><a href="https://www.ucloud.cn/site/ucsafe/notice.html" >安全中心</a></p> <p><a href="https://www.ucloud.cn/site/about/news/recent/" >新闻动态</a></p> <p><a href="https://www.ucloud.cn/site/about/news/report/">媒体动态</a></p> <p><a href="https://www.ucloud.cn/site/cases.html">客户案例</a></p> <p><a href="https://www.ucloud.cn/site/notice/">公告</a></p> </li> <li> <span><img src="https://static.ucloud.cn/7a4b6983f4b94bcb97380adc5d073865.png" alt="优刻得"></span> <p>扫扫了解更多</p></div> </div> <div class="copyright">Copyright © 2012-2023 UCloud 优刻得科技股份有限公司<i>｜</i><a rel="nofollow" href="http://beian.miit.gov.cn/">沪公网安备 31011002000058号</a><i>｜</i><a rel="nofollow" href="http://beian.miit.gov.cn/"></a> 沪ICP备12020087号-3</a><i>｜</i> <script type="text/javascript" src="https://gyfk12.kuaishang.cn/bs/ks.j?cI=197688&fI=125915" charset="utf-8"></script> <script> var _hmt = _hmt || []; (function() { var hm = document.createElement("script"); hm.src = "https://hm.baidu.com/hm.js?290c2650b305fc9fff0dbdcafe48b59d"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(hm, s); })(); </script>  <script async src="https://www.googletagmanager.com/gtag/js?id=G-DZSMXQ3P9N"></script> <script> window.dataLayer = window.dataLayer || []; function gtag(){dataLayer.push(arguments);} gtag('js', new Date()); gtag('config', 'G-DZSMXQ3P9N'); </script> <script> (function(){ var el = document.createElement("script"); el.src = "https://lf1-cdn-tos.bytegoofy.com/goofy/ttzz/push.js?99f50ea166557aed914eb4a66a7a70a4709cbb98a54ecb576877d99556fb4bfc3d72cd14f8a76432df3935ab77ec54f830517b3cb210f7fd334f50ccb772134a"; el.id = "ttzz"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(el, s); })(window) </script></div> </div> </footer> </body> <script src="https://www.ucloud.cn/yun/static/theme/ukd/js/common.js"></script> <<script type="text/javascript"> $(".site-seo-depict *,.site-content-answer-body *,.site-body-depict *").css("max-width","100%"); </script> </html>

资讯专栏INFORMATION COLUMN

上云采购季！| 2核2G4M爆款云服务器低至59元/年，更有多台、长期优惠，快来选购！

前端安全：防范点击劫持的两种方式