只在登录页面上提供点击保护可以吗？

Question

我有个关于点击的问题。

这个问题很简单。想象一下这样的登录流：

1. 访问应用程序登录页面(如https://example.com/login.html )。在此页面上没有点击保护(即X-Frame-Options头)。
2. 此页面将您重定向到SSO页面以实际登录，例如在这里输入https://sso.service.com和实际凭据。这里启用了点击劫持保护。
3. 登录后，您将被重定向回站点https://example.com/home.html。在网站的任何地方都没有防点击保护。

我的问题是:如果我仅在登录/SSO页面上有保护，并且在应用程序的任何其他页面中没有保护，那么我的应用程序是否仍然容易受到单击攻击？

Answer 1

答案是简单而直截了当的：

只在登录页面上具有点击保护，只保护登录页。您的站点的其余部分仍然易受

攻击。

听起来你有点误会，并且希望因为登录页面是受点击保护的，所以有人不能用点击攻击你的网站。不幸的是，情况并非如此。单击劫持(通常)依赖于使用已登录用户的凭据。因此，没有必要以点击劫持为目标登录页面。相反，您的目标是具有敏感操作的任何其他页面。

事实上，在需要点击保护的页面列表中，登录页面可能很低。原因是您不能使用点击劫持来输入密码，即使可能，攻击者也不会知道用户的密码来登录。如果浏览器存储密码并自动建议密码，则可以使用登录页面上的单击劫持登录用户，然后对站点上的另一个操作进行单击攻击，从而从多次点击攻击中生成漏洞。不过，一般来说，对登录页面使用点击劫持本身可能并不是一个有趣的目标。

因此，您几乎有很多东西向后:如果您有所有的东西，但您的登录页面不受点击劫持，您可能会没事。如果您只保护您的登录页不点击劫持，那么您的点击劫持保护是无用的。