个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我目前正在研究保护网站免遭点击劫持。 German Wikipedia给出了以下最佳实践示例:
<style> html{display : none ; } </style>
<script>
if( self == top ) {
document.documentElement.style.display = 'block' ;
} else {
top.location = self.location ;
}
</script>
但是,我想知道,如果客户端禁用了 javascript 怎么办?然后,他将不会显示该页面。我们需要提供功能齐全的非 JavaScript 版本的应用程序。
有什么建议可以实现这一目标吗?
最佳答案
你可以使用
<script>
if (self !== top) {
document.documentElement.style.display = 'none';
top.location = self.location;
}
</script>
在导航尝试被成功攻击的情况下仍然隐藏页面。您还可以显示一条类似于 self.location.href + “无法在框架中显示。” 的消息。
当然,当 JavaScript 被禁用时,这不会阻止您的页面在框架中显示(甚至可能不是全局的,而只是在您的框架中),因此您应该始终发送相应的 X-Frame-Options header 。
关于javascript - 预防点击劫持的最佳实践 : What if javascript is disabled?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38475279/
24
4
0
我是一名优秀的程序员,十分优秀!