您能告诉我如何防止点击劫持攻击吗? 提前致谢。我在客户端使用纯 javascript,在服务器端使用 VBscript。 期望我应该向网站添加哪个 x-frame-选项,以及应该采取多少步骤来避免点击劫持攻击。
您可以通过将服务器响应标头“X-Frame-Options”设置为 DENY(不允许框架)或 SAMEORIGIN(仅允许在同一来源上框架)来防止点击劫持。还有一个 ALLOW-FROM 选项,不过基本上已经不支持了。
但是 X-Frame-Options 现在已被内容安全策略的frame-ancestors 指令取代,您应该使用该指令,因为它优先于 X-Frame-Options 并且更灵活。您可以使用选项“none”(不允许任何人帧)、“self”(仅允许在同源上帧)以及添加任何允许帧的主机名。
您可以按照本例设置标题
Response.AddHeader "Content-Security-Policy", "frame-ancestors 'self' <hostname1> <hostname2>;"