作者:sina_weibo 点击:2252 发布日期:2013-06-06 16:43:47 返回列表
恶意站点通过iframe的方式嵌套微博应用站点,利用HTML透明覆层等技术,劫持用户的点击操作。从而达到诱导用户执行恶意加关注目的。
修复建议:
1、不需要被iframe的应用,可选用下面之一的方法。
a、header头声明 header( "X-FRAME-OPTIONS:DENY");
b、JS判断当前页面是否被iframe,示例代码: if(top.location!=location){top.location=locaiton;}
2、需要被iframe的产品。
a、判断父窗口是否是允许的页面;
b、弹出加关注确认,并给出被关注者的昵称。
上一篇:nginx反代+重写 下一篇:快递查询API