点击劫持:
clickjacking,它是用过覆盖不可见的框架误导用户点击。
虽然用户点击的是他所看到的网页,但实际上是被黑客精心构建的另一个置于原网页上面的透明页面。
具体详情可参考:http://www.cnblogs.com/lovesong/p/5248483.html
解决措施:HTTP头—— X-Frame_Options.
X-Frame-Options有三个值:
- DENY:表示该页面不允许在frame中展示,即使是在相同域名的页面中嵌套页不允许。
- SAMEORIGIN:表示该页面可以在相同域名的页面的frame中展示。
- ALLOW-FROM :表示该页面可以在指定来源的frame中展示。
//在http响应头中添加头信息
httpResponse.setHeader("X-Frame-Option","SAMEORIGIN");