点击劫持,意思就是你点击网页的时候,有人劫持你,对没错,劫持你的信息,甚至劫持你的马内,劫持你的理想,劫持你的肉体,劫持你的灵魂。就是这么可怕。
目录
1 如何实现假网站
1.1 iframe嵌套
1.2 自己搭建假网站
2 假网站如何拿到你的信息
2.1 嵌套假网站如何获取你的信息
2.2 纯假网站获取信息
3 我们自己该如何注意防备呢?
3.1 自己的网站
3.2 如果是个人
1 如何实现假网站
那么点击劫持是如何实现的呢?我们好好地上网,好好的冲浪,好好地玩游戏,怎么就被劫持了呢?那么他们是如何实现的呢?
1.1 iframe嵌套
你有没有发现,虽然现在网民那么多了,但很多人其实是没有域名意识的。什么意思呢,比如csdn,对,就是你正在看的这个网站,你是否熟练记得csdn这个网站的域名后缀是com还是cn还是net呢?那么突然某一天,你从某个地方点击了一个链接,然后打开的csdn.xyz,然后跟csdn长得一模一样,你会不会有防备心理呢?就像下面这个图这样,你会有防备心理吗?
这其实就是有人做了一个网站,但是他无法使用csdn的域名,但是他可以用iframe把csdn的链接嵌套进去,这样,不太注意域名的人们,就会觉得自己进入的就是csdn的网站,从而开始真正的操作。
1.2 自己搭建假网站
比如我以前玩DNF的时候,或者玩热血江湖的时候,里面经常有人会发送福利,送金币,骗子死全家,登录xxx.cn/swdf,然后进去以后呢,这个网站和人家官网网站做的一模一样,尤其是学生们,谁管官网网站的域名真正是什么啊,一看送福利,难得啊,管他呢,登录上去赶紧看看。
结果上去以后一顿操作下来发现,他们这网站不好使啊,哎,算了,反正没领到也不吃亏,然后关闭网站就没当回事。
然后呢?然后自己的账号再进入游戏登录的时候,啥都没了,傻眼了。
2 假网站如何拿到你的信息
2.1 嵌套假网站如何获取你的信息
比如你登录了一个嵌套类的网站,其实你来回点一点倒也没事,但就怕你登录,其实获取子iframe的信息还是有一定难度的,但是他们可以在你点登录按钮那个地方,定位一个透明的区域,当你准备点按钮的时候,其实是点击了他们预先准备的按钮,而你输入框里输入的东西,也许也是他们提前定位好的输入框,这样就获得你的登录信息了。
2.2 纯假网站获取信息
纯的就更别说了,你输入的就是他们的网站,发送数据也是往他们服务器发送的,那么你的信息泄露的会更快。
3 我们自己该如何注意防备呢?
3.1 自己的网站
自己的网站啊,可以在服务器配置文件中添加 X-FRAME-OPTIONS 头。例如:
Apache:
Header always set X-Frame-Options "SAMEORIGIN"
Nginx:
add_header X-Frame-Options "SAMEORIGIN";
Express.js:
app.use((req, res, next) => {
res.setHeader("X-Frame-Options", "SAMEORIGIN");
next();
});
Spring Boot:
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.headers().frameOptions().sameOrigin();
}
}
- DENY:完全禁止该页面在
<iframe>中展示。- SAMEORIGIN:只允许相同来源(同一个域名)的网站在
<iframe>中嵌入该页面。- ALLOW-FROM uri:允许特定的 URI 在
<iframe>中嵌入该页面(不被广泛支持,并且已经从最新的标准中移除)。
3.2 如果是个人
如果是个人的话,保护好自己的信息特别重要。多记一些域名、少贪图一些小便宜、多读书、多看报、早睡早起精神好。
