点击劫持防护
点击劫持概述
1. 点击劫持定义
点击劫持(Clickjacking)是一种视觉欺骗攻击,攻击者将目标网站嵌入到恶意网站中,通过覆盖层诱导用户点击看似无害的元素,实际上点击的是目标网站上的敏感操作。
2. 攻击特点
- 利用iframe嵌入目标网站
- 使用CSS隐藏目标网站
- 诱导用户点击特定位置
- 用户不知情的情况下执行操作
- 可以绕过某些安全措施
3. 常见攻击场景
- 社交媒体点赞
- 银行转账
- 关注/订阅操作
- 删除数据
- 修改隐私设置
// 攻击场景示例
1. 社交媒体点赞
<div style="position: relative;">
<iframe src="https://social.com/post/123" style="opacity: 0.1;"></iframe>
<button style="position: absolute; top: 100px; left: 100px;">
点击查看图片
</button>
</div>
2. 银行转账
<div style="position: relative;">
<iframe src="https://bank.com/transfer" style="opacity: 0.1;"></iframe>
<button style="position: absolute; top: 200px; left: 200px;">
领取优惠券
</button>
</div>
3. 关注操作
<div style="position: relative;">
<iframe src="https://social.com/follow/456" style="opacity: 0.1;"></iframe>
<button style="position: absolute; top: 300px; left: 300px;">
查看详情
</button>
</div>