点击劫持,click jacking,也被称为 UI 覆盖攻击。

这个词首次出现在 2008 年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。

它是通过覆盖不可见的框架误导受害者点击。

虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。

这种攻击利用了 HTML 中

<iframe width="300" height="150">

标签的透明属性。

点击劫持攻击特点:

  1. 创建一个 iframe 标签,将透明度设置为 0
  2. 将其他页面内容覆盖到框架上
  3. 引导用户点击

防御措施:

  1. JavaScript 禁止内嵌(top)
  2. X-FRAME-OPTIONS 禁止内嵌
  3. 其他辅助手段(验证码等)