Skip to main content

点击防护

点击劫持中间件和装饰器提供易于使用的 clickjacking 保护。当恶意网站欺骗用户点击在隐藏帧或iframe中加载的另一站点的隐藏元素时,发生这种类型的攻击。

点击劫持的一个例子

假设在线商店有一个页面,其中登录的用户可以点击“立即购买”购买项目。用户已经选择保持登录到商店所有的时间为了方便。攻击者网站可能会在自己的某个页面上创建一个“我喜欢小马”按钮,并在一个透明的iframe中加载商店的页面,这样“立即购买”按钮就隐藏在“我喜欢小马”按钮上。如果用户访问攻击者的网站,点击“我喜欢小马”将导致意外点击“立即购买”按钮和该项目的未知购买。

防止点击劫持

现代浏览器尊重 X-Frame-Options HTTP头,指示是否允许资源在帧或iframe内加载。如果响应包含值为 SAMEORIGIN 的头,那么浏览器将只在框架中加载资源,如果请求来自同一个站点。如果头设置为 DENY,则浏览器将阻止资源在框架中加载,而不管请求是哪个站点。

Django提供了几个简单的方法,将此标题包含在您网站的响应中:

  1. 一个简单的中间件,在所有响应中设置标头。

  2. 一组视图修饰器,可用于覆盖中间件或仅设置特定视图的头。

只有中间件或视图修饰器在响应中不存在时,X-Frame-Options HTTP头才会设置。

如何使用它

为所有响应设置 X-Frame-Options

要为您站点中的所有响应设置相同的 X-Frame-Options 值,请将 'django.middleware.clickjacking.XFrameOptionsMiddleware' 置于 MIDDLEWARE:

MIDDLEWARE = [
    ...
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    ...
]

此中间件在 startproject 生成的设置文件中启用。

默认情况下,中间件会将每个传出 HttpResponseX-Frame-Options 头设置为 SAMEORIGIN。如果您想要 DENY,请设置 X_FRAME_OPTIONS 设置:

X_FRAME_OPTIONS = 'DENY'

当使用中间件可能有一些视图,你做 想要 X-Frame-Options 头集。对于这些情况,您可以使用视图装饰器告诉中间件不要设置头:

from django.http import HttpResponse
from django.views.decorators.clickjacking import xframe_options_exempt

@xframe_options_exempt
def ok_to_load_in_a_frame(request):
    return HttpResponse("This page is safe to load in a frame on any site.")

设置每个视图的 X-Frame-Options

要在每个视图基础上设置 X-Frame-Options 头,Django提供了这些装饰器:

from django.http import HttpResponse
from django.views.decorators.clickjacking import xframe_options_deny
from django.views.decorators.clickjacking import xframe_options_sameorigin

@xframe_options_deny
def view_one(request):
    return HttpResponse("I won't display in any frame!")

@xframe_options_sameorigin
def view_two(request):
    return HttpResponse("Display in a frame if it's from the same origin as me.")

请注意,您可以将装饰器与中间件结合使用。使用装饰器覆盖中间件。

限制

X-Frame-Options 头部只能防止在现代浏览器中的劫持。旧版浏览器会静默忽略标题,需要 other clickjacking prevention techniques

支持 X-Frame-Options 的浏览器

  • Internet Explorer 8+

  • Firefox 3.6.9+

  • Opera 10.5+

  • Safari 4+

  • Chrome 4.1及更高版本

也可以看看

支持 X-Frame-Options 的浏览器的 complete list