点击劫持是一种视觉欺骗手段,在web端就是iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。解决方案:设置HTTP请求头(X-Frame-Options)
工具/原料
1
windows2008/2012服务器
2
IIS管理器
方法/步骤
1
打开IIS管理器,找到“HTTP响应标头”
2
双击打开
3
名称填写:X-Frame-Options值填写:SAMEORIGIN DENY:浏览器拒绝当前页面加载任何Frame页面SAMEORIGIN:frame页面的地址只能为同源域名下的页面ALLOW-FROM:origin为允许frame加载的页面地址
4
重启IIS。
注意事项
1
IIS6界面和II7不同,但方法相同。
2
如果只是想处理单个站点,可在“网站”中单独处理。
3
该解决方法仅限IIS中间件服务器。