什么是点击劫持

点击劫持是什么:点击劫持(ClickJacking)是一种视觉上的欺骗手段 。 攻击者使用一个透明的(即不可见的) iframe 页面,覆盖在一个正常网页上,然后诱使用户点击该网页,这时用户就会在不知情的情况下点击那个透明的 iframe 。 通过精心调整透明 iframe 的位置,就可以诱使用户恰好点击在所设计的恶意按钮上 。

例如:

攻击者开发一个网站内容为两层

底层:某种让人想要有点击欲望的图或者布局,如一个红包上面一个跳动的“开”字。
上层:通过iframe嵌套某社交网站他的主页,并且设置透明度为完全透明,同时通过定位让iframe上的某些操作按钮(如“关注我”)与底层引导点击区域(如例子中的红包“开”字)重叠
这样用户在点击“开”字实际点击上层透明的“关注我”,在毫不知情的情况下完成关注某人的操作。当然这些前提同样是用户已登录并且未过期的前提下。

不同于CSRF伪造的请求,这些请求都是在iframe中自身的网站并且由用户“自愿”发起的。

 

辅助手段

在一些比较机密的操作时增加二次校验,如验证码、手机校验码、密码等。

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

无人与我粥可温

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值