13.3 点击劫持 (Clickjacking)

文档摘要

13.3 点击劫持 (Clickjacking) JavaScript 安全：点击劫持 (Clickjacking) 详解与实践引言点击劫持的原理点击劫持的核心在于视觉欺骗。攻击者通过将目标网站嵌入到一个恶意构造的 iframe 中，并覆盖一层透明的 UI 元素（例如按钮或链接）。当用户以为点击了页面上的可见元素时，实际上点击的是 iframe 中目标网站上的隐藏元素。简单来说，用户以为点击 A，实际上点击了 B。点击劫持攻击方式攻击者通常会利用以下技术来实施点击劫持攻击： iframe 嵌入: 将目标网站嵌入到恶意页面的 iframe 中。 CSS 样式控制: 使用 CSS 样式（例如 , , ) 将 iframe 透明化并覆盖在恶意页面上。