前端知识点其它安全问题
1. 点击劫持
1. ClickJacking 点击劫持
当访问某网站时,利用 CSS 将攻击者实际想让你点击的页面进行透明化隐藏,然后在页面后显示一些东西诱导让你点击,点击后则会在用户毫不知情的情况下做了某些操作,这就是点击劫持 ClickJacking 。
例如:当我们点击弹窗右上角的"X"想关闭弹窗事,跳转到其他页面。
2. iframe 覆盖
第三方网站通过 iframe 内嵌某一个网站,并且将 iframe 设置为透明不可见,将其覆盖在其他经过伪装的 DOM 上,伪装的可点击 DOM (按钮等)与实际内嵌网站的可点击 DOM 位置相同,当用户点击伪装的 DOM 时,实际上点击的是 iframe 中内嵌的网页的 DOM 从而触发请求操作。
3. 解决方式
还是 iframe 那一套方式
2. HTTP 严格传输安全(HSTS)
HTTP严格传输安全(HSTS HTTP Strict Transport Security)是一种安全功能,web服务器通过它来告诉浏览器仅用HTTPS来与之通讯,而不是使用HTTP。
开启 HSTS,让在接下来的 max-age 时间内只能使用 HTTPS 访问,如果访问 HTTP,则会重定向到 HTTPS
Nginx 配置
Nginx
add_header Strict-Transport-Security max-age=31536000add_header Strict-Transport-Security max-age=31536000