一、点击劫持的原理
**点击劫持(Clickjacking)**是一种视觉欺骗攻击,攻击者通过将目标网站页面嵌套在自己的恶意页面的 <iframe> 中,并设置透明样式覆盖在精心设计的诱导性内容(如按钮、链接)上方,诱导用户点击。用户看似点击的是恶意页面的元素,实际点击的是被嵌入的目标网站的敏感按钮(如 "确认支付""删除账号" 等),从而在用户不知情的情况下执行非预期操作。
攻击流程示例:
- 攻击者创建一个恶意页面,通过 <iframe src="https://target.com/pay"></iframe> 嵌入银行转账页面。
- 攻击者设置 iframe 为透明(opacity: 0),并覆盖在一个看似无害的按钮(如 "领取奖品")上方。
- 用户点击 "领取奖品" 时,实际点击的是 iframe 中银行页面的 "确认转账" 按钮,导致资金被转走。
二、通过 X-Frame-Options 和 CSP 的 frame-src 防御点击劫持
两者均通过限制页面被嵌入到 <iframe> 中的场景,阻止恶意网站嵌套目标页面。
1. X-Frame-Options 响应头
这是早期防御点击劫持的标准,通过后端设置 HTTP 响应头控制页面是否允许被嵌入:
- **DENY:**禁止页面被任何网站的 <iframe> 嵌入。
- **SAMEORIGIN:**仅允许同域名下的页面嵌入(如 a.example.com 可嵌入 a.example.com 的页面,但 b.example.com 不行)。
- ALLOW-FROM https://trusted.com:仅允许指定域名(如 trusted.com)的页面嵌入(注意:部分现代浏览器已不支持此值)
使用示例:
后端在响应头中添加:
html
X-Frame-Options: SAMEORIGIN此时,只有同域名的页面能嵌入当前页面,外部恶意网站的 <iframe> 会被浏览器拒绝加载。
2. CSP(Content-Security-Policy)的 frame-src 指令
CSP 是更灵活的安全策略,frame-src 专门控制哪些来源的资源可以被用作 <iframe> 或 <frame> 的内容,替代了 X-Frame-Options 的功能,且支持更精细的配置:
- **frame-src 'self':**仅允许同域名的页面嵌入(等效于 X-Frame-Options 的 SAMEORIGIN)。
- **frame-src https://trusted.com:**仅允许 trusted.com 域名的页面嵌入。
- **frame-src 'none':**禁止任何页面嵌入(等效于 X-Frame-Options 的 DENY)。
使用示例:
后端设置响应头:
html
Content-Security-Policy: frame-src 'self' https://trusted-partner.com此时,当前页面仅允许被同域名页面或 trusted-partner.com 的页面嵌入,其他域名的 <iframe> 会被拦截。
三、必须嵌入第三方 iframe 时的安全沙箱机制
若业务需要嵌入第三方 iframe(如支付接口、地图服务等),需通过iframe 的 sandbox 属性 和 内容限制策略 构建沙箱,限制第三方内容的权限,防止恶意行为。
1. iframe sandbox 属性
sandbox 是 HTML5 提供的属性,通过禁用 iframe 内页面的危险权限(如脚本执行、表单提交、跨域请求等)实现隔离,属性值为一组空格分隔的关键词:
|----------------------|---------------------|------------------|
| 关键词 | 作用 | 安全建议 |
| 不设置任何值 | 禁用所有权限(最严格) | 优先选择,仅在必要时开放权限 |
| allow-scripts | 允许 iframe 内执行脚本 | 谨慎使用,可能引入 XSS 风险 |
| allow-forms | 允许提交表单 | 仅在需要表单交互时开放 |
| allow-same-origin | 允许 iframe 内页面访问同域资源 | 避免开放,防止突破沙箱隔离 |
| allow-top-navigation | 允许 iframe 控制顶层页面导航 | 禁止,防止跳转恶意页面 |
2. 安全沙箱设计方案
以嵌入第三方支付 iframe 为例,安全配置如下:
html
<!-- 嵌入第三方 iframe 并启用沙箱 -->
<iframe
src="https://third-party-payment.com/pay"
sandbox="allow-scripts allow-forms" <!-- 仅开放必要权限 -->
width="400"
height="300"
frameborder="0"
scrolling="no"
referrerpolicy="no-referrer-when-downgrade" <!-- 限制 referrer 泄露 -->
></iframe>额外安全措施:
- **限制 iframe 尺寸和位置:**通过 CSS 固定 iframe 大小和位置,避免被恶意覆盖或伪装。
- **使用 postMessage 通信:**iframe 内外的交互仅通过 window.postMessage 实现,并严格验证消息来源(event.origin)和内容,防止恶意数据注入。
javascript
// 父页面接收 iframe 消息
window.addEventListener('message', (event) => {
// 验证消息来源是否为可信第三方
if (event.origin !== 'https://third-party-payment.com') return;
// 验证消息格式
if (typeof event.data === 'object' && event.data.type === 'paymentSuccess') {
// 处理支付成功逻辑
}
});监控 iframe 行为: 通过 MutationObserver 监控 iframe 内容变化,检测异常 DOM 操作(如添加透明覆盖层)。
**结合 CSP 限制:**在父页面的 CSP 中明确指定 frame-src 为第三方域名,防止 iframe 被替换为恶意来源。
总结
- 点击劫持通过透明 iframe 欺骗用户点击,核心防御手段是限制页面被嵌入的场景。
- X-Frame-Options 提供基础防御,CSP 的 frame-src 更灵活,推荐优先使用 CSP。
- 必须嵌入第三方 iframe 时,通过 sandbox 属性最小化权限,结合 postMessage 安全通信和 CSP 限制,构建多层沙箱防护。