对抗点击劫持新武器：x-frame-options 点击劫持

对抗点击劫持新武器：X-Frame-Options

点击劫持 (Clickjacking) 是一种诱使用户点击一个看似无害的超链接或按钮，实际上却是点击在另一个网页上的一个超链接或按钮。后果可能是泄露了机密的资料，或无缘无故“赞好”一个网站，甚至开启电脑内置的镜头和麦克风。网站开发人员当然有希望保护用户不受攻击，可用的手段主要有 Framekiller 和 X-Frame-Options，前者并不可靠，尤其在 IE 上可以轻易被攻击者破解 (IE 的安全问题真是罄竹难书)，后者只是浏览器自设的措施，并非业界标准。IETF 终于在两个月前正式接受 X-Frame-Options 为 HTTP 的标头 (header)，从此开发人员的安全工具箱又多一件武器。