Clickjacking UI覆盖攻击漏洞处理

问题现象：

路由器由于版本过于老旧，web存在Clickjacking 漏洞：

黑客可制作一个网站，设计好用户名、密码输入框和登录按钮，放置到样机web登录界面对应的位置。用户进入黑客的网站，认为自己进入了样机web管理界面， 输入用户名和密码，点击登录按钮后，用户名密码被发送给客户，黑客再用账号和密码帮助用户登录进入web管理界面。用户就会在完全不知情的情况下，泄露信息。

问题原因：

该漏洞是一个比较老的漏洞，各浏览器厂商都有针对该漏洞的修复，但需要http服务器响应头部加入相关字段。

解决思路：

1.设置X-Frame-Options配置项为deny,使浏览器拒绝当前页面加载任何frame页面。

2.CSP设置frame-ancestors限制，限制嵌入框架的网页。

标签：web,Clickjacking,登录,密码,漏洞,用户名,UI,黑客
来源： https://blog.csdn.net/toyijiu/article/details/113547342