最近安全检测有遇到点击劫持:X-Frame-Options未配置,这个危险漏洞;这让我想起我曾经写过的一篇博客
同源策略
就是利用这个原理的;
同源策略
在不同的URL中,如果协议、域名、端口相同,那么这些URL则为同源,如果协议、域名、端口其中有一项不同,与路径不同无关,则为不同源,不同源的URL发送请求则为跨域请求。在浏览器中跨域采用同源策略,除非JS的
这里不谈原理,原理就是利用同源策略机制进行攻击的,同<img>
<src>还有jsonp类似;
这里谈谈如何使用;
X-Frame-Options有三个值:
1.DENY
表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
2.SAMEORIGIN
表示该页面可以在相同域名页面的 frame 中展示。