🖱️ Clickjacking 点击劫持

⚠️ 学习目的

点击劫持通过透明 iframe 覆盖，诱骗用户点击隐藏的恶意按钮

📖 攻击原理

攻击者页面
┌─────────────────────────────┐
│  "点击领取红包"  ← 诱饵按钮   │
│  ┌─────────────────────┐    │
│  │ 透明 iframe         │    │
│  │ ┌─────────────────┐ │    │
│  │ │ [确认转账] ← 真实 │ │    │
│  │ └─────────────────┘ │    │
│  └─────────────────────┘    │
└─────────────────────────────┘

用户以为点击的是"领取红包"，实际点击的是银行"确认转账"按钮

🧪 实验列表

🎯

实验一：iframe 覆盖攻击

演示如何通过透明 iframe 劫持用户点击

攻击演示

🛡️

实验二：X-Frame-Options 防护

使用 X-Frame-Options 响应头阻止 iframe 嵌入

防护方案

🔒

实验三：CSP frame-ancestors 防护

使用 CSP 策略控制页面嵌入权限

防护方案

📊 账户状态

余额: 加载中...

操作记录: 0 次

🔧 防御方案对比

方案	响应头	兼容性	灵活性
X-Frame-Options	`X-Frame-Options: DENY`	✅ 所有浏览器	⚠️ 只能 DENY/SAMEORIGIN
CSP frame-ancestors	`frame-ancestors 'none'`	✅ 现代浏览器	✅ 可指定允许的域名