點擊劫持clickjacking)是一種在網頁中將惡意代碼等隱藏在看似無害的內容(如按鈕)之下,並誘使用戶點擊的手段。[1][2][3][4]該術語最早由雷米亞·格羅斯曼(Jeremiah Grossman)與羅伯特·漢森(Robert Hansen)於2008年提出。這種行為又被稱為介面偽裝UI redressing)。

點擊劫持可以被看成是責任混淆問題confused deputy problem)的一個實例。[5]

舉例來說,如用戶收到一封包含一段影片的電子郵件,但其中的「播放」按鈕並不會真正播放影片,而是鏈入一購物網站。這樣當用戶試圖「播放影片」時,實際是被誘騙而進入了一個購物網站。

通過在客戶端安裝NoScript或NoClickjack擴充等手段可以防止點擊劫持的發生。[6]

參見

編輯

參考資料

編輯
  1. ^ Robert McMillan. At Adobe's request, hackers nix 'clickjacking' talk. PC World. 2008-09-17 [2008-10-08]. (原始內容存檔於2015-07-17). 
  2. ^ Megha Dhawan. Beware, clickjackers on the prowl. India Times. 2008-09-29 [2008-10-08]. (原始內容存檔於2009-07-24). 
  3. ^ Dan Goodin. Net game turns PC into undercover surveillance zombie. The Register. 2008-10-07 [2008-10-08]. (原始內容存檔於2018-12-04). 
  4. ^ Fredrick Lane. Web Surfers Face Dangerous New Threat: 'Clickjacking'. newsfactor.com. 2008-10-08 [2008-10-08]. (原始內容存檔於2008-10-13). 
  5. ^ The Confused Deputy rides again!頁面存檔備份,存於互聯網檔案館), Tyler Close, October 2008
  6. ^ Giorgio Maone. Hello ClearClick, Goodbye Clickjacking. hackademix.net. 2008-10-08 [2008-10-27]. (原始內容存檔於2021-03-05).