点击劫持，意思就是你点击网页的时候，有人劫持你，对没错，劫持你的信息，甚至劫持你的马内，劫持你的理想，劫持你的肉体，劫持你的灵魂。就是这么可怕。

目录

1 如何实现假网站

1.1 iframe嵌套

1.2 自己搭建假网站

2 假网站如何拿到你的信息

2.1 嵌套假网站如何获取你的信息

2.2 纯假网站获取信息

3 我们自己该如何注意防备呢？

3.1 自己的网站

3.2 如果是个人 

---

1 如何实现假网站

那么点击劫持是如何实现的呢？我们好好地上网，好好的冲浪，好好地玩游戏，怎么就被劫持了呢？那么他们是如何实现的呢？

1.1 iframe嵌套

你有没有发现，虽然现在网民那么多了，但很多人其实是没有域名意识的。什么意思呢，比如csdn，对，就是你正在看的这个网站，你是否熟练记得csdn这个网站的域名后缀是com还是cn还是net呢？那么突然某一天，你从某个地方点击了一个链接，然后打开的csdn.xyz，然后跟csdn长得一模一样，你会不会有防备心理呢？就像下面这个图这样，你会有防备心理吗？

这其实就是有人做了一个网站，但是他无法使用csdn的域名，但是他可以用iframe把csdn的链接嵌套进去，这样，不太注意域名的人们，就会觉得自己进入的就是csdn的网站，从而开始真正的操作。 

1.2 自己搭建假网站

比如我以前玩DNF的时候，或者玩热血江湖的时候，里面经常有人会发送福利，送金币，骗子死全家，登录xxx.cn/swdf，然后进去以后呢，这个网站和人家官网网站做的一模一样，尤其是学生们，谁管官网网站的域名真正是什么啊，一看送福利，难得啊，管他呢，登录上去赶紧看看。

结果上去以后一顿操作下来发现，他们这网站不好使啊，哎，算了，反正没领到也不吃亏，然后关闭网站就没当回事。

然后呢？然后自己的账号再进入游戏登录的时候，啥都没了，傻眼了。

2 假网站如何拿到你的信息

2.1 嵌套假网站如何获取你的信息

比如你登录了一个嵌套类的网站，其实你来回点一点倒也没事，但就怕你登录，其实获取子iframe的信息还是有一定难度的，但是他们可以在你点登录按钮那个地方，定位一个透明的区域，当你准备点按钮的时候，其实是点击了他们预先准备的按钮，而你输入框里输入的东西，也许也是他们提前定位好的输入框，这样就获得你的登录信息了。

2.2 纯假网站获取信息

纯的就更别说了，你输入的就是他们的网站，发送数据也是往他们服务器发送的，那么你的信息泄露的会更快。

3 我们自己该如何注意防备呢？

3.1 自己的网站

自己的网站啊，可以在服务器配置文件中添加 X-FRAME-OPTIONS 头。例如：

Apache：

Header always set X-Frame-Options "SAMEORIGIN"

Nginx：

add_header X-Frame-Options "SAMEORIGIN";

Express.js：

app.use((req, res, next) => {
  res.setHeader("X-Frame-Options", "SAMEORIGIN");
  next();
});

Spring Boot：

import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

public class SecurityConfig extends WebSecurityConfigurerAdapter {
  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.headers().frameOptions().sameOrigin();
  }
}

• DENY：完全禁止该页面在 <iframe> 中展示。
• SAMEORIGIN：只允许相同来源（同一个域名）的网站在 <iframe> 中嵌入该页面。
• ALLOW-FROM uri：允许特定的 URI 在 <iframe> 中嵌入该页面（不被广泛支持，并且已经从最新的标准中移除）。

3.2 如果是个人 

如果是个人的话，保护好自己的信息特别重要。多记一些域名、少贪图一些小便宜、多读书、多看报、早睡早起精神好。