🛡️ POC - 点击劫持漏洞验证

目标: https://www.qvps.top

漏洞状态: ❌ 无 X-Frame-Options 头,可被 iframe 嵌入

⚠️ 透明 iframe 覆盖在诱饵按钮下方
用户看到"点击领取福利",实际点击的是 qvps 的登录按钮

🔧 修复验证

加上 X-Frame-Options 后,iframe 将无法加载:

Nginx 修复配置

add_header X-Frame-Options "SAMEORIGIN" always; add_header Content-Security-Policy "frame-ancestors 'self'" always;

生效后:
✅ 同一域名下可嵌入 (SAMEORIGIN)
✅ 外部恶意网站无法嵌入 iframe
❌ 攻击者无法实施点击劫持

该 POC 仅用于测试您自己的系统,请勿用于非法用途。