點擊劫持的原理

點擊劫持是一種視覺欺騙的攻擊手段。攻擊者將需要攻擊的網站通過 iframe 嵌套的方式嵌入自己的網頁中，并將 iframe 設置為透明，在頁面中透出一個按鈕誘導用戶點擊。點擊劫持的原理：

用戶在登陸 A 網站的系統后，被攻擊者誘惑打開第三方網站，而第三方網站通過 iframe 引入了 A 網站的頁面內容，用戶在第三方網站中點擊某個按鈕（被裝飾的按鈕），實際上是點擊了 A 網站的按鈕。

瀏覽器端常見的一種防護機制，是框架清除腳本。但攻擊者可以輕松繞過。點擊劫持是瀏覽器端的行為，服務器端點擊劫持的兩種保護機制是 X-Frame-Options 和 Content-Security-Policy：

• X選項

  X-Frame-Options最初是作為IE8中的非官方響應頭，后在其它瀏覽器中采用。標頭為網站所有者提供了對 iframe 或對象的使用的控制權，可以通過以下方式禁用框架中包含的網頁。

• 內容安全策略（CSP）

  CSP是一種瀏覽器安全機制，旨在減少XSS和其它攻擊。工作原理是限制頁面可以加載的資源（eg：腳本和圖像）并限制頁面是否受其它頁面框的影響。

  啟用CSP，響應需要包含一個HTTP響應標題 Content-Security-Policy 該標題具有包含策略的價值。該策略本身由一個或多個指令組成，中間由分號隔開。

回答所涉及的環境：聯想天逸510S、Windows 10。