一、什么是点击劫持技术

点击劫持是一种比较常见的基于浏览器的攻击。

点击劫持技术又称为界面伪装攻击，是一种视觉上的欺骗手段。攻击者使用一个或多个透明的 iframe 覆盖在一个正常的网页上，然后诱使用户在该网页上进行操作，当用户在不知情的情况下点击透明的 iframe 页面时，用户的操作已经被劫持到攻击者事先设计好的恶意按钮或链接上。攻击者既可以通过点击劫持设计一个独立的恶意网站，执行钓鱼攻击等；也可以与 XSS 和 CSRF 攻击相结合，突破传统的防御措施，提升漏洞的危害程度。

二、如何防护

如何使自己的网站避免这种情况出现，有两种处理方式：

第一种，使用Filter进行响应请求处理，代码如下：

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletResponse;

/**
 * 点击劫持过滤器
 */
public class ClickJackFilter implements Filter {

	private String mode = "DENY";

	public ClickJackFilter() {}

	@Override
	public void init(FilterConfig filterConfig) {
		String configMode = filterConfig.getInitParameter("mode");
		if (configMode != null && (configMode.equals("DENY") || configMode.equals("SAMEORIGIN"))) {
			this.mode = configMode;
		}
	}

	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		HttpServletResponse res = (HttpServletResponse) response;
		res.addHeader("X-FRAME-OPTIONS", this.mode);
		chain.doFilter(request, response);
	}

	@Override
	public void destroy() {}

}

第二种，使用nginx在请求头中添加配置，如下：

http {
    ...
    
    add_header X-Frame-Options SAMEORIGIN;
    
    ...
}

三、验证

<html>
<body>
    <iframe src="https://jfinal.com" width="100%" height="98%"></iframe>
</body>
</html>