编辑“︁Django点击劫持保护”︁（章节）

= Django点击劫持保护 =  
'''点击劫持'''（Clickjacking）是一种恶意攻击技术，攻击者通过透明或欺骗性的iframe层覆盖在合法网页上，诱使用户在不知情的情况下点击隐藏的按钮或链接。Django提供了内置的防护机制来防止此类攻击。  

== 什么是点击劫持？ ==  
点击劫持（又称UI覆盖攻击）的工作原理如下：  
1. 攻击者创建一个恶意网页，其中包含一个透明的iframe，加载目标网站（如银行或社交网络）。  
2. 用户看到的是攻击者设计的诱骗界面，但实际点击的是iframe中隐藏的按钮（例如“转账”或“删除账户”）。  
3. 由于用户已登录目标网站，操作会被执行，导致数据泄露或未经授权的操作。  

<mermaid>  
graph TD  
    A[恶意网页] --> B[透明iframe加载目标网站]  
    B --> C[用户点击诱骗按钮]  
    C --> D[隐藏操作被执行]  
</mermaid>  

== Django的防护机制 ==  
Django通过中间件`django.middleware.clickjacking.XFrameOptionsMiddleware`提供防护。该中间件会设置HTTP响应头`X-Frame-Options`，限制页面能否被嵌入到iframe中。  

=== 启用防护 ===  
在`settings.py`中启用中间件：  
<syntaxhighlight lang="python">  
MIDDLEWARE = [  
    # ...  
    'django.middleware.clickjacking.XFrameOptionsMiddleware',  
    # ...  
]  
</syntaxhighlight>  

=== 可选配置 ===  
`X-Frame-Options`支持以下值：  
* `DENY`：完全禁止嵌入（默认值）。  
* `SAMEORIGIN`：仅允许同源网站嵌入。  
* `ALLOW-FROM uri`：允许指定URI嵌入（部分浏览器已废弃此选项）。  

在`settings.py`中自定义：  
<syntaxhighlight lang="python">  
X_FRAME_OPTIONS = 'SAMEORIGIN'  # 仅允许同域名iframe  
</syntaxhighlight>  

== 代码示例 ==  
=== 视图级控制 ===  
如果需要为特定视图禁用防护，可使用`@xframe_options_exempt`装饰器：  
<syntaxhighlight lang="python">  
from django.views.decorators.clickjacking import xframe_options_exempt  

@xframe_options_exempt  
def public_widget(request):  
    return HttpResponse("此内容允许被嵌入到任何iframe中")  
</syntaxhighlight>  

或强制启用防护：  
<syntaxhighlight lang="python">  
from django.views.decorators.clickjacking import xframe_options_deny  

@xframe_options_deny  
def sensitive_action(request):  
    return HttpResponse("此页面禁止被嵌入")  
</syntaxhighlight>  

== 实际案例 ==  
'''场景：'''  
一个社交媒体网站允许用户分享小工具（如投票插件）到其他网站，但需防止个人主页被恶意嵌入。  

'''解决方案：'''  
1. 全局启用`XFrameOptionsMiddleware`，默认禁止嵌入。  
2. 对公开的小工具视图使用`@xframe_options_exempt`。  
3. 对用户个人主页使用`@xframe_options_deny`。  

== 浏览器兼容性 ==  
大多数现代浏览器支持`X-Frame-Options`，但某些旧版本（如IE8以下）可能不兼容。Django的防护是基础措施，建议结合其他安全技术（如CSP）。  

== 数学表达 ==  
攻击成功率可建模为：  
<math>  
P_{\text{success}} = \frac{\text{诱骗点击次数}}{\text{总访问次数}} \times 100\%  
</math>  
防护机制的目标是使<math>P_{\text{success}} \approx 0</math>。  

== 总结 ==  
* Django的点击劫持防护通过`X-Frame-Options`实现。  
* 默认全局启用，可通过中间件和装饰器灵活控制。  
* 实际开发中需根据业务需求调整策略，平衡功能与安全性。  

{{提示|对于需要更高安全性的场景，建议结合[[内容安全策略|CSP]]的`frame-ancestors`指令使用。}}

[[Category:后端框架]]
[[Category:Django]]
[[Category:Django安全]]