点击劫持clickjacking)是一种在网页中将恶意代码等隐藏在看似无害的内容(如按钮)之下,并诱使用户点击的手段。[1][2][3][4]该术语最早由雷米亚·格罗斯曼(Jeremiah Grossman)与罗伯特·汉森(Robert Hansen)于2008年提出。这种行为又被称为界面伪装UI redressing)。

点击劫持可以被看成是责任混淆问题confused deputy problem)的一个实例。[5]

举例来说,如用户收到一数据包含一段视频的电邮,但其中的“播放”按钮并不会真正播放视频,而是链入一购物网站。这样当用户试图“播放视频”时,实际是被诱骗而进入了一个购物网站。

通过在客户端安装NoScript或NoClickjack扩展等手段可以防止点击劫持的发生。[6]

参见

编辑

参考资料

编辑
  1. ^ Robert McMillan. At Adobe's request, hackers nix 'clickjacking' talk. PC World. 2008-09-17 [2008-10-08]. (原始内容存档于2015-07-17). 
  2. ^ Megha Dhawan. Beware, clickjackers on the prowl. India Times. 2008-09-29 [2008-10-08]. (原始内容存档于2009-07-24). 
  3. ^ Dan Goodin. Net game turns PC into undercover surveillance zombie. The Register. 2008-10-07 [2008-10-08]. (原始内容存档于2018-12-04). 
  4. ^ Fredrick Lane. Web Surfers Face Dangerous New Threat: 'Clickjacking'. newsfactor.com. 2008-10-08 [2008-10-08]. (原始内容存档于2008-10-13). 
  5. ^ The Confused Deputy rides again!页面存档备份,存于互联网档案馆), Tyler Close, October 2008
  6. ^ Giorgio Maone. Hello ClearClick, Goodbye Clickjacking. hackademix.net. 2008-10-08 [2008-10-27]. (原始内容存档于2021-03-05).