7.6 防御点击劫持

我们在第5章 中介绍过点击劫持,它是一种攻击方法:攻击者欺骗用户,使其在点击一些页面元素时实际上是在点击其他一些东西,而非他们认为它所呈现的内容。对抗点击劫持的最好方法之一是运行Firefox或Chrome浏览器的noscript扩展。它会阻止未经认证的代码在Web浏览器中运行。Noscript可以检测到未经认证的脚本、警示用户该脚本的存在并阻止脚本运行。用户也可以选择全局关闭某个会话或某个网站中的脚本控制。

本书作者非常中意noscript;不过,你应该鼓励Web开发者在HTTP响应中设置X-Frame-Options首部来降低Web应用中的这类风险。此外,有些应用分发控制器(ADC)实例也为管理员提供了编写定制脚本的功能。它也有助于降低这类风险。

有些网站可能必须要能运行脚本。这类情况包括购物车或是其他电商网站。