无需登录 数据私有 本地保存

点击劫持测试页面 - 检测 X-Frame-Options 缺失

44
0
0
0

点击劫持测试

X-Frame-Options 检测

检测目标网站是否存在点击劫持漏洞,验证 X-Frame-Options 和 CSP frame-ancestors 安全配置

快速测试:
仅用于测试您拥有权限的网站。工具通过 iframe 嵌入和 HTTP 请求头分析进行检测。
页面嵌入预览 等待检测
输入 URL 并点击检测按钮
🎁 立即领取奖品
⚠️ 攻击者通过透明覆盖层劫持你的点击
你以为是"领奖",实际点了下方的按钮
加载中...
正在检测目标网站...
检测结果
尚未进行检测
输入URL后点击检测按钮查看结果
常见问题与安全知识
点击劫持是一种恶意攻击技术,攻击者将目标网站嵌入到一个透明的 iframe 中,并在其上覆盖诱饵内容。用户以为在点击可见的按钮(如"领取奖励"),实际上却点击了隐藏的 iframe 中的按钮(如"确认转账"或"删除账户")。这种攻击利用了网页可以嵌入其他网站的特性,在用户不知情的情况下劫持点击操作。
X-Frame-Options 是一个 HTTP 响应头,用于控制浏览器是否允许页面在 iframe、frame、embed 或 object 中展示。它有三个可选值:

DENY:完全禁止页面被嵌入到任何框架中。
SAMEORIGIN:仅允许同源页面嵌入。
ALLOW-FROM uri:仅允许指定来源嵌入(已废弃,不被现代浏览器广泛支持)。

正确配置 X-Frame-Options 是防御点击劫持的基础措施之一。
CSP frame-ancestors 是 Content-Security-Policy 中的一个指令,是 X-Frame-Options 的现代替代方案。主要区别:

更灵活:支持多个来源、通配符、'self'、'none' 等值。
更精细:可以为不同资源类型设置不同策略。
优先级更高:当两者同时存在时,浏览器优先遵循 CSP frame-ancestors。
支持更广:现代浏览器均支持,而 X-Frame-Options 的 ALLOW-FROM 已被废弃。

建议同时配置两者以兼容旧版浏览器,但以 CSP frame-ancestors 为主要防护手段。
Nginx 配置:
add_header X-Frame-Options "DENY" always; add_header Content-Security-Policy "frame-ancestors 'none';" always;
Apache 配置(.htaccess):
Header always set X-Frame-Options "DENY" Header always set Content-Security-Policy "frame-ancestors 'none';"
仅允许同源嵌入:
# X-Frame-Options add_header X-Frame-Options "SAMEORIGIN" always; # CSP 方式(更灵活) add_header Content-Security-Policy "frame-ancestors 'self';" always;
常见攻击场景包括:

社交媒体劫持:诱导用户无意中点赞、关注或分享内容。
金融欺诈:覆盖银行转账确认页面,劫持转账操作。
权限提升:劫持用户点击授权按钮,授予攻击者敏感权限。
广告欺诈:隐藏广告并劫持点击以产生虚假广告收入。
摄像头/麦克风激活:诱导用户点击允许使用设备的按钮。
下载恶意软件:覆盖下载按钮,诱导下载恶意程序。

防御点击劫持需要服务器端和客户端双重防护。
多层防御策略:

CSP frame-ancestors:现代浏览器的主要防护方式。
Frame-busting 脚本:JavaScript 检测并跳出框架(可作为补充,但可能被绕过)。
SameSite Cookies:防止会话 cookie 在跨站请求中发送。
用户教育:提醒用户警惕可疑的弹窗和按钮。
定期安全审计:使用本工具及其他安全扫描工具定期检测。
使用 HTTPS:防止中间人篡改响应头。

建议采用纵深防御策略,组合使用多种防护手段。
本工具采用双重检测机制:

1. HTTP 请求头检测:尝试发送 fetch 请求获取目标网站的响应头,检查 X-Frame-Options 和 CSP frame-ancestors 配置。如目标网站允许 CORS,可直接读取响应头信息。

2. iframe 嵌入测试:将目标 URL 加载到 iframe 中,观察是否能够成功嵌入。如果浏览器阻止了 iframe 的渲染(由于 X-Frame-Options 或 CSP 策略),说明网站有帧保护。

注意:由于浏览器跨域限制,对于不允许 CORS 的第三方网站,本工具依赖 iframe 行为进行间接判断。