点击劫持防护中 top 检测为啥失效了?
我按照网上教程加了点击劫持的 top 检测逻辑,但嵌入 iframe 后页面还是能正常加载,没被跳出去。是我写法有问题吗?
试过在 Chrome 里用本地文件打开测试,也试过部署到服务器上,结果都一样。控制台也没报错,就是防护没生效。
<script>
if (window.top !== window.self) {
window.top.location = window.self.location;
}
</script>
- 1
回答
30浏览
点击劫持防护中 top 检测为啥失效了?
我在做点击劫持防护,按照网上教程加了 top !== self 的判断,但嵌套在 iframe 里还是能正常加载,没被拦截,这是为啥? 我试过在页面最顶部加这段脚本,也确认没被其他逻辑绕过,但就是不生...
- 1
回答
36浏览
点击劫持防护中如何正确检测页面是否被嵌入iframe?
我在做点击劫持防护,看到可以用 top !== self 来判断是否被嵌套,但实际测试时发现有些情况下这个判断不生效,比如在同域 iframe 里。我试了下面这段代码,但好像还是会被绕过? <s...
- 2
回答
120浏览
BackTop组件点击后页面跳到顶部但位置偏移怎么办?
在用Ant Design的BackTop组件时,点击后页面跳到顶部但总比预期位置低20px,调整了target属性也不行,是什么原因? 场景是给有padding-top的容器滚动时触发BackTop,...
- 2
回答
69浏览
为什么在UIkit中使用uk-animation-slide-top时没有动画效果?
我按照文档给按钮加了uk-toggle和uk-animation-slide-top,点击时元素虽然显示了但没滑动效果,这是为什么呢? 我这样写的代码: 显示内容 这里是滑动显示的内容 已经确认引入了...
- 2
回答
90浏览
如何防止攻击者绕过我的Top窗口检测防御?
我在页面加了if (top !== self) top.location=self;想防点击劫持,但测试时发现攻击者用透明iframe叠加后检测失效了。明明设置了X-Frame-Options: SA...
- 2
回答
4浏览
BackTop组件在React中不显示怎么办?
我用Ant Design的BackTop组件,但页面滚动到底部也没出现回到顶部的按钮,不知道是哪出问题了。 我已经按文档引入了,也设置了样式,但就是不显示。试过加z-index和固定定位,还是没用。 ...
- 1
回答
24浏览
Desktop First 布局在小屏上怎么处理才不崩?
我用 Desktop First 写了个布局,大屏看着没问题,但一到手机上整个页面就乱套了,元素堆叠、溢出啥的都有。 我已经写了几个 @media (max-width: 768px) 的断点,但感觉...
- 1
回答
42浏览
env(safe-area-inset-top) 在安卓上不生效怎么办?
我用 env(safe-area-inset-top) 来适配 iPhone 的刘海屏,iOS 上没问题,但在安卓全面屏手机上完全没反应,布局还是被状态栏挡住了。是不是安卓不支持这个? 我试过加了 v...
- 2
回答
18浏览
点击劫持Self检测为啥没生效?
我按照网上教程加了点击劫持的Self检测,但嵌套在iframe里还是能正常加载,根本没被拦截。是我写法有问题吗? 我试过在页面顶部加这段CSS: body { display: block !impo...
- 1
回答
36浏览
BackTop组件在滚动时没反应是怎么回事?
我用React写了个BackTop回到顶部的按钮,监听了window的scroll事件,但页面滚动时完全没触发。控制台也没报错,就是死活不显示。我试过把阈值设成0,还是不行。 这是我的关键代码: us...
你这段代码的逻辑没问题,但可能被浏览器拦截了。试下加个
X-Frame-Options头信息来配合使用。服务器端配置这个头能从根本上防止点击劫持。比如在 Apache 里可以这样设置:
或者直接在页面头部加上:
记得清除浏览器缓存再测试。有时候这些安全相关的设置需要刷新一下才能生效。开发的时候遇到这种问题最头疼了,不过组合多种防护手段总是没错的。