点击劫持 (Clickjacking),又称为界面伪装攻击 (UI Redressing),是一种视觉欺骗手段。 简单来说,攻击者使用一个透明的、不可见的 (内嵌框架),覆盖在一个诱导性的网页按钮或链接之上。用户以为自己点击的是网页上可见的“播放视频”或“领取奖品”按钮,但实际上点击的是上方透明层里那个被嵌入的(受害者已登录的)目标网站的敏感按钮(如“转账”、“关注”、“删除账号”等)。 --- 点击劫持是如何工作的? 想象一下这就像是一个三明治: 1. 底层(诱饵层): 攻击者搭建的恶意网页,上面有一个很吸引人的按钮(例如:“点击赢取 iPhone”)。 2. 顶层(目标层): 攻击者通过 标签嵌入了目标网站(例如:你的网银页面或社交媒体页面)。 3. 伪装: 攻击者通过 CSS 将顶层的 设置为全透明 (),并将其中的敏感按钮(如“确认转账”)精确地定位在底层诱饵按钮的正上方。 结果: 用户在毫不知情的情况下,以为自己在点诱饵,实际上是在操作目标网站。 --- 如何防御点击劫持? 防御点击劫持的核心思路是:不允许第三方网站通过 嵌入你的网页,或者严格限制哪些网站可以嵌入。 目...
播面