Clickjacking.md

点击劫持

点击劫持(也称UI-覆盖攻击)，攻击者诱导用户去点击触发那些“无意识的”UI事件(比如DOM事件)。

X-FRAME-OPTIONS

阻止点击劫持攻击的一个最简单的办法是去使能X-FRAME-OPTIONS头部。

使用lusca

lusca是在Apache证书下的开源软件。

# In your sails app
npm install lusca --save

然后在config/http.js中的中间件配置对象中配置：

  // ...
  // maxAge ==> Number of seconds strict transport security will stay in effect.
  xframe: require('lusca').xframe('SAMEORIGIN'),
  // ...
  order: [
    // ...
    'xframe'
    // ...
  ]

额外的资源

• Clickjacking (OWasp)