🛡️ 点击劫持 POC

目标: cnm-pggames.com | 漏洞: 缺少 X-Frame-Options

❌ 存在点击劫持漏洞
1 用户访问攻击页面
2 iframe 透明加载目标
3 诱饵覆盖登录按钮
4 点击即触发操作

🎮 PG Games 活动中心

🔍 攻击原理

1. 攻击者在恶意页面嵌入透明 iframe

2. 在 iframe 上方覆盖诱饵按钮

3. 用户点击诱饵 → 实际触发目标网站操作

🔧 修复方案

# Nginx add_header X-Frame-Options "SAMEORIGIN" always; # 或更严格 add_header Content-Security-Policy "frame-ancestors 'self'" always;

点击切换 iframe 透明度,观察覆盖效果

⚠️ 该 POC 仅用于测试您自己的系统 | 修复后 iframe 区域将显示空白