IE8与点击绑架和CSRF的攻防战

核心提示： 举例来说，如果一个网络商 店使用Cookie来进行身份验证，IE8与点击绑架和CSRF的攻防战(2)，并提供了一键购买服务， IE8显示一个模拟的web购物站点，遗憾的是，frame-busting机制通常需要用到脚本，下面是其中一张膝上型计算机的图片： 图1网络中的某个恶意网站可以构造一

举例来说，如果一个网络商 店使用Cookie来进行身份验证，并提供了一键购买服务。 IE8显示一个模拟的web购物站点，下面是其中一张膝上型计算机的图片：

图1

网络中的某个恶意网站可以构造一个页面，用以强迫一个来自合法的商店的受害者页面嵌入一个IFRAME，并利用误导性的文本和图 像叠加在框架的关键部分。

图2

上面是一个恶意的页面，其中膝上型计算机的图片被一张猫的图片所覆盖。 如果用户业已登陆商店，那么他可能在不知情的情况下受骗点击商店的页面，从而导致一个非本意的操作：

图3

上面是一个恶意的页面，显示的文本表明用户已经购买了一个膝上型计算机。 当然，这里只是一个非常简单的点击劫持攻击，但是比这复杂的点击劫持攻击也是存在的。

为了缓解点击劫持之痛，人们提出了许多方法，但是它们必须在兼容性和用户体验目前做一些折中，或者需要对现有标准作重大修 改。目前，使用最广泛也是最简单的抵御点击劫持攻击的方案称为frame busting技术，它能防止有弱点的页面被框架化，例如防 止页面被iframe引用。遗憾的是，frame-busting机制通常需要用到脚本，但是我们知道绕过脚本不是不可能的。

三、X-FRAME-OPTIONS如何抗击点击绑架