最近的 Twitter 的 Clickjacking 漏洞 值得我们注意下。

这个漏洞的原理，就是将 Twitter 的发布页面 通过 iframe 载入到第三方页面。然后将 iframe 透明度设置成零，并将发布按钮与第三方页面的按钮重合。当用户本意点击第三方页面的按钮时，实际上点击的是 Twitter 页面的发布按钮（ 详细 ）。

由于 Twitter 中的好友基本上都是熟人，加之好奇心的驱使很多人都会点击该按钮，因此很快就被传播开来。不过很快截止目前（2009-02-12）， Twitter 官方已经修复了该漏洞 。

官方的修复方式较简单，就是判断页面是否被 iframe 引入，如有则清空 body 节点的内容。而个人认为，这是非常偷懒而且治标不治本的的解决办法。

首先，既然清空页面（还做了个延时，又那么多的 DOM 操作，费时又费力），那何不直接跳转？其次，就是发现 Twitter 将几乎所有的 Web 版页面都加入了这段代码，有点杀鸡取卵的意思。再加个「马后炮」，其实这个页面压根就可以不用处理 $_GET['status'] 请求。

看了下代码，发现 Twitter 发布页同时包含了个 Javascript 的全局变量 twttr.form_authenticity_token，-- 我想你知道干嘛用的 （当然，前提条件是你怎么得到它）。

另外，还有个安全隐患，就是 移动版的 Twitter 页面 。手机页面由于没有过多的考虑 Javascript 操作，也就没有了上述的那段代码，但这意味着 Clickjacking 攻击其实在此页面还是存在的。

上图是将此页面加入到 iframe 的效果，感谢 玉伯 同学的测试，剩下就打住不继续说了。

几点心得和感叹

1. 前端代码在实现越来越丰富的应用的同时，也给安全问题划开了道巨大的口子
2. Twitter 此法虽然也解决了该漏洞，但个人感觉并非常「不完美」。这就想起在平时，需要用什么方法才能恰当的搞定相应的需求
3. 老生常谈， 避免 Javascript 全局变量 -- 没有不注意它的理由
4. 漏洞的解决尽可能覆盖到所有的产品线，捡了西瓜的同时还得捡起芝麻