一、ClickJacking简介
点击劫持(ClickJacking):是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的iframe覆盖在网页上,并诱使用户在该网页上进行操作。(用户在不知情的情况下点击透明的iframe页面,通过调整iframe页面的位置,诱使用户恰好点击在iframe页面的一些功能性按钮上)
注:点击劫持和CSRF都是在用户不知情的情况下诱使用户完成一些工作,不同的是点击劫持利用的是与用户产生交互的页面,而CSRF是另外的页面。
二、劫持的类型
①iframe点击劫持:通过控制iframe的长、宽,以及调整top、left的位置,可以把iframe页面内的任意部分覆盖到任何地方;同时设置iframe的position为absolute,并将z-index的值设置为最大,以达到让iframe处于页面的最上层;最后,再通过设置opacity来控制iframe页面的透明程度,值为0是完全不可见。
②Flash点击劫持:通过点击小游戏,最终控制用户打开了摄像头,目前Adobe已经修复了该漏洞。
③图片覆盖攻击(XSIO,Cross Site Image Overlaying):利用图片的style或者控制CSS,使图片覆盖到页面上的任意位置形成点击劫持。
④拖拽劫持与数据窃取:诱使用户从隐藏的不可见iframe中“拖拽”出攻击者希望得到的数据,然后放到攻击者能控制的另外一个页面中,从而窃取数据。
⑤触屏劫持(TapJacking):针对触屏操作捕捉手机OS事件,将一个不可见的iframe覆盖到当前网页上来劫持用户的触屏操作。
三、点击劫持的防御(通过禁止跨域的iframe来防范)
①frame busting:通过编写JS代码来禁止iframe的嵌套,但是控制能力不是特别强,有许多方法可以绕过它。
②X-Frame-Options:在HTTP头中增加X-Frame-Options选项,它有三个可选值,当值为DENY时,浏览器会拒绝当前页面加载任何frame页面;当值为SAMEORIGIN时,frame页面的地址只能是同源域名下的页面;当值为ALLOW-FROM时,则可以定义允许frame加载的页面地址。