点击劫持(Click Jacking)是通过不可见框架底部的内容误导受害者点击,虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。
这种攻击利用了 HTML 中 <iframe>标签的透明属性。
在 HTML 中,我们可以在 iframe 里面嵌套另一个网页。通过设置 iframe 的透明度,可以使 iframe 不可见,同时在其底部放一个很有诱惑力的图片,调整网页中 iframe 中网页提交按钮的位置,使其和图片里按钮的位置相同。如此,当用户点击图片中的按钮时,其实是点击了网页中的按钮。
- 盗取用户资金(转账、消费)
- 获取用户敏感信息
- 使用 JavaScript 禁止内嵌(JavaScript 如果被禁用,则不能 100% 解决问题)
- 使用 X-Frame-Options 禁止内嵌(兼容性好,推荐使用)
- 辅助手段:比如增加验证码验证