点击劫持
点击劫持(clickjacking)是一种在网页中将恶意代码等隐藏在看似无害的内容(如按钮)之下,并诱使用户点击的手段。[1][2][3][4]该术语最早由雷米亚·格罗斯曼(Jeremiah Grossman)与罗伯特·汉森(Robert Hansen)于2008年提出。这种行为又被称为界面伪装(UI redressing)。
点击劫持可以被看成是责任混淆问题(confused deputy problem)的一个实例。[5]
举例来说,如用户收到一封包含一段视频的电子邮件,但其中的“播放”按钮并不会真正播放视频,而是链入一购物网站。这样当用户试图“播放视频”时,实际是被诱骗而进入了一个购物网站。
通过在客户端安装NoScript或NoClickjack扩展等手段可以防止点击劫持的发生。[6]
参见
参考资料
- ^ Robert McMillan. At Adobe's request, hackers nix 'clickjacking' talk. PC World. 2008-09-17 [2008-10-08]. (原始内容存档于2015-07-17).
- ^ Megha Dhawan. Beware, clickjackers on the prowl. India Times. 2008-09-29 [2008-10-08]. (原始内容存档于2009-07-24).
- ^ Dan Goodin. Net game turns PC into undercover surveillance zombie. The Register. 2008-10-07 [2008-10-08]. (原始内容存档于2018-12-04).
- ^ Fredrick Lane. Web Surfers Face Dangerous New Threat: 'Clickjacking'. newsfactor.com. 2008-10-08 [2008-10-08]. (原始内容存档于2008-10-13).
- ^ The Confused Deputy rides again! (页面存档备份,存于互联网档案馆), Tyler Close, October 2008
- ^ Giorgio Maone. Hello ClearClick, Goodbye Clickjacking. hackademix.net. 2008-10-08 [2008-10-27]. (原始内容存档于2021-03-05).