第三節：點擊劫持攻擊 · Python Djiango文檔

# 第三節：點擊劫持攻擊 # clickjacking攻擊： `clickjacking`攻擊又稱作**點擊劫持攻擊**。是一種在網頁中將惡意代碼等隱藏在看似無害的內容（如按鈕）之下，并誘使用戶點擊的手段。 ## clickjacking攻擊場景： ### 場景一：如用戶收到一封包含一段視頻的電子郵件，但其中的“播放”按鈕并不會真正播放視頻，而是鏈入一購物網站。這樣當用戶試圖“播放視頻”時，實際是被誘騙而進入了一個購物網站。 ### 場景二：用戶進入到一個網頁中，里面包含了一個非常有誘惑力的`按鈕A`，但是這個按鈕上面浮了一個透明的`iframe`標簽，這個`iframe`標簽加載了另外一個網頁，并且他將這個網頁的某個按鈕和原網頁中的`按鈕A`重合，所以你在點擊`按鈕A`的時候，實際上點的是通過`iframe`加載的另外一個網頁的按鈕。比如我現在有一個百度貼吧，想要讓更多的用戶來關注，那么我們可以準備以下一個頁面： ``` <pre class="calibre12">``` <html> <meta http-equiv="Content-Type" content="text/html; charset=gb2312" /> <head> <title>點擊劫持</title> <style> iframe{ opacity:0.01; position:absolute; z-index:2; width: 100%; height: 100%; } button{ position:absolute; top: 345px; left: 630px; z-index: 1; width: 72px; height: 26px; } </style> </head> <body> 這個合影里面怎么會有你？ <button>查看詳情</button> <iframe src="http://tieba.baidu.com/f?kw=%C3%C0%C5%AE"></iframe> </body> </html> ``` ``` ``` <pre class="calibre12">``` 頁面看起來比較簡陋，但是實際上可能會比這些更精致一些。當這個頁面通過某種手段被傳播出去后，用戶如果點擊了“查看詳情”，實際上點擊到的是關注的按鈕，這樣就可以增加了一個粉絲。 ``` ``` ## clickjacking防御：像以上場景1，是沒有辦法避免的，受傷害的是用戶。而像場景2，受傷害的是百度貼吧網站和用戶。這種場景是可以避免的，只要設置百度貼吧不允許使用`iframe`被加載到其他網頁中，就可以避免這種行為了。我們可以通過在響應頭中設置`X-Frame-Options`來設置這種操作。`X-Frame-Options`可以設置以下三個值： 1. `DENY`：不讓任何網頁使用`iframe`加載我這個頁面。 2. `SAMEORIGIN`：只允許在相同域名（也就是我自己的網站）下使用`iframe`加載我這個頁面。 3. `ALLOW-FROM origin`：允許任何網頁通過`iframe`加載我這個網頁。在`Django`中，使用中間件`django.middleware.clickjacking.XFrameOptionsMiddleware`可以幫我們堵上這個漏洞，這個中間件設置了`X-Frame-Option`為`SAMEORIGIN`，也就是只有在自己的網站下才可以使用`iframe`加載這個網頁，這樣就可以避免其他別有心機的網頁去通過`iframe`去加載了。