clickjacking:X-Frame-options header miss

1.漏洞简介：

clickjacking:X-Frame-options header missing，这个漏洞是由于短少X-Frame-options头部信息造成的点击劫持

X-Frame-OptionsHTTP报头字段表示战略，以确认是否在浏览器内答应刺进frame或iframe结构。服务器能够在其HTTP呼应的标头中声明此战略，以避免点击劫持进犯，从而保证其内容不会嵌入其他页面或结构中。

2.进犯方式：

进犯者运用多层通明或不通明层，诱运用户在打算单击顶层页面时诱使他们单击结构页面上的按钮或链接。因此，进犯者正在“劫持”用于其页面的点击，并将其路由到其他页面，该页面很可能由另一个应用程序，域或两者拥有。

运用类似的技能，击键也能够被劫持。经过精心设计的样式表，iframe和文本框的组合，能够运用户信任他们是在电子邮件或银行帐户中输入暗码，而是输入由进犯者控制的不行见结构。

进犯者经过

(1).使用有该漏洞的网站（例如：www.haveXFO.com,假设该网站有这样一个漏洞），编写一个可获取用户敏感信息的网页（如，cookie.html）,

(2)然后将cookie.html内嵌到www.haveXFO.com/index.html中（在内嵌的时候将cookie.html的css形式进行精心调整，一般调整为通明形式便于黑客将cookie.html隐藏到www.haveXFO.com/index.html）

(3)黑客将这样一个精心编写好的网页(并命名为attack.html,attcck.html是由index.html与cookie.html构成的)发布到自己的服务器上（www.hackerxxxx.com/attack.html）

(4)将这样一个垂钓链接www.hackerxxxx.com/attack.html发送给受害者们，等候鱼儿上钩即可

3.防御方法：

在HTTP呼应标头中发送适当的X-Frame-Options，以指示浏览器不答应来自其他域的结构。

• X-Frame-Options: DENY它彻底回绝在frame / iframe中加载。

• X-Frame-Options: SAMEORIGIN仅当要加载的站点具有相同来源时才答应。

• X-Frame-Options: ALLOW-FROM URL它授予特定的网址以将本身加载到iframe中。但是请注意，并非所有浏览器都支撑此功用

4.演示比照：

在这儿咱们找到了两个网站做比照：
（1）.www.google.com,该网站运用了，X-Frame-Options: SAMEORIGIN头部信息，咱们无法编写内嵌进犯网页：

具体演示代码：

  IFrame Exampleiframe { width: 480px; height: 300px; }

在这样一个网站中，咱们能够从回应的信息中，能够看到并未选用X-Frame-Options，这就使得黑客有了可趁之机。

本文作者：叶锦衣yejinyi