一、概念

点击劫持（Click jacking）是一种攻击技术，攻击者通过在网页上叠加透明的或不可见的恶意内容，诱使用户误点击或操作一些敏感的功能，从而实现攻击目的，如执行恶意操作、窃取用户信息等。点击劫持攻击可以通过修改页面样式、使用透明 iframe 等手段来隐藏恶意操作。

为了防范点击劫持攻击，可以使用 HTTP 头字段 X-Frame-Options 来提供点击劫持保护。X-Frame-Options 可以告知浏览器如何处理网页的嵌入和显示，从而阻止恶意网站将受害者的网页嵌入到自己的页面中。

二、配置

1、可选值

X-Frame-Options 响应头有三个可选值：

1. DENY： 拒绝所有页面嵌入，无论是同源还是非同源网站都无法嵌入。

2. SAMEORIGIN： 允许同源网站嵌入，但不允许非同源网站嵌入。

3. ALLOW-FROM uri： 允许特定来源的网站嵌入，uri 表示允许嵌入的网站地址。例如:

   `ALLOW-FROM: https://www.example.com`;
   // 表示只允许 https://www.example.com 这个网站嵌入页面。

通过设置 X-Frame-Options 响应头，可以防止点击劫持攻击者将目标网站嵌入到自己的恶意网页中，保护用户的操作安全和隐私。

2、配置步骤

以下是使用 X-Frame-Options 防范点击劫持攻击的步骤：

1. 在服务器端设置响应头： 在网站的服务器配置中，设置 X-Frame-Options 响应头字段，并将其值设置为 DENY、SAMEORIGIN 或 ALLOW-FROM uri。
2. 测试和调试： 在部署点击劫持保护之前，进行测试以确保设置正确。确保目标页面无法在非预期的地方嵌入。
3. 不同浏览器兼容性方案： 某些老版本的浏览器可能不完全支持 X-Frame-Options 响应头字段。为这些浏览器提供备选解决方案，如 JavaScript 上的防御措施或其他点击劫持保护方法。

需要注意的是，由于 X-Frame-Options 是一种响应头字段，因此只能阻止网页在被嵌入到其他网页时的点击劫持，无法防止直接在浏览器地址栏打开的方式的点击劫持。为了全面防范点击劫持攻击，建议在前端网页中使用 JavaScript 等技术手段进行补充防御。

综上所述，通过设置 X-Frame-Options 响应头字段，并将其值设置为 DENY、SAMEORIGIN 或 ALLOW-FROM uri，可以提供点击劫持保护，防止恶意网站将目标网页嵌入到自己的页面中。

更新日志

2025/8/24 08:17

查看所有更新日志

• e7112-1于 2025/8/24