点击劫持是什么:点击劫持(ClickJacking)是一种视觉上的欺骗手段 。 攻击者使用一个透明的(即不可见的) iframe 页面,覆盖在一个正常网页上,然后诱使用户点击该网页,这时用户就会在不知情的情况下点击那个透明的 iframe 。 通过精心调整透明 iframe 的位置,就可以诱使用户恰好点击在所设计的恶意按钮上 。
例如:
攻击者开发一个网站内容为两层
底层:某种让人想要有点击欲望的图或者布局,如一个红包上面一个跳动的“开”字。
上层:通过iframe嵌套某社交网站他的主页,并且设置透明度为完全透明,同时通过定位让iframe上的某些操作按钮(如“关注我”)与底层引导点击区域(如例子中的红包“开”字)重叠
这样用户在点击“开”字实际点击上层透明的“关注我”,在毫不知情的情况下完成关注某人的操作。当然这些前提同样是用户已登录并且未过期的前提下。
不同于CSRF伪造的请求,这些请求都是在iframe中自身的网站并且由用户“自愿”发起的。
辅助手段
在一些比较机密的操作时增加二次校验,如验证码、手机校验码、密码等。