您是否曾經遇到過一個看起來很誘人的鏈接，并且您想提前點擊并查看其中的更多內容？此類鏈接、游戲和其他事物起初看起來很誘人，但事實證明它們對您來說是危險的。使用這種會讓您想點擊它的誤導性鏈接被稱為“點擊劫持”。

點擊劫持是一種攻擊，其中用戶被誘騙點擊網站或任何頁面元素，而不是他/她的意圖。該術語源自“點擊劫持”，該技術通過在受信任的網站上隱藏可疑內容來在網站上使用。也可以通過將特定頁面放在可見頁面的頂部來完成。當用戶點擊這個可視化頁面時，他們認為它只是一個標準頁面，但實際上它是另一回事。

用戶實際上位于該頁面的特定位置，這將導致觸發可疑操作。它可以在社交媒體頁面上包含虛假點贊，以便攻擊者可以從被點擊劫持的用戶的銀行賬戶中提取所有資金。

許多此類點擊劫持攻擊充分利用了基于 HTML iframe 的漏洞。安全方法主要涉及頁面框架預防。我們將了解點擊劫持是如何完成的，我們如何避免它，以及為什么這種威脅很快就會消失。點擊劫持被定義為“混淆代理問題”的一個例子，其中系統被欺騙而濫用了過多的授權。

點擊劫持攻擊是什么樣的？

點擊劫持攻擊的最常見方法之一是向用戶展示瀏覽器中兩個隱藏網頁的混合內容，以及點擊特定位置的額外激勵，以啟動點擊劫持操作。然后，黑客會將未受保護的目標網站加載到 HTML iframe 中，將其設置為透明版本，然后將 iframe 放置在為在某些合適的位置提取點擊而創建的可疑網頁中。

如果我們舉一個例子，我們會在查看某些特定網頁時看到幾個與瀏覽器相關的游戲。這些游戲都是以彈窗的形式展示的，點擊后會說玩這個可以贏現金獎勵或獎品等，看起來很誘人，會以彈窗的形式展示游戲后臺頁面，實際目標網站可以是您通常使用的銀行應用程序。

如上所述，它也可以是覆蓋在透明框架上的電子商務網站。然后，黑客將在與目標站點的控件相同的位置創建一個帶有大量點擊選項的游戲站點。當您單擊這些項目時，用戶會單擊黑客希望他們單擊??的那些目標控件，從而導致潛在的財務后果。

根據所使用的網站，用戶會在不知不覺中發送正面評價。它可以包括喜歡 Facebook 頁面、給予他們積極的想法、授權 Facebook 應用程序訪問您的數據、使用單點登錄登錄，甚至使用單擊購物應用程序為黑客購買昂貴的物品。

如果將其與拖放技術結合使用，黑客將誘使用戶填寫表單字段、填寫 CAPTCHA 等。在這種情況下，結構上準備好的與游戲的交互將導致用戶不體面地進行拖放操作。對不可見對象進行刪除操作并將其放置在表單字段上。因此，用戶在導航到這些未知頁面時必須保持警惕。

點擊劫持的歷史

點擊劫持的第一個實例是在 2002 年確定的，當時一個例子指出可以在網頁上加載透明層。它會影響用戶的輸入，而他們不會注意到任何事情。這個實例被認為是次要的，直到 2008 年才被作為一個重大問題而在很大程度上被忽略。

Web 應用程序安全專家 Robert Hansen 和 Jeremiah Grossman 發現 Adob??e Flash Player 可能會被點擊劫持。它還允許黑客在用戶事先不知情的情況下訪問計算機。

“clickjacking”一詞是由這兩位專家創造的，它是“click”和“jacking”這兩個詞的組合。不久之后就報道了這種性質的類似攻擊，這使得該術語在其他應用程序安全專家的腦海中產生了相關性。以前，這些攻擊被稱為“UI 糾正”，但后來又恢復為點擊劫持。

點擊劫持攻擊的變種

點擊劫持不是指一次單一的攻擊；根據舊術語，它包含一個相當廣泛的攻擊向量和策略系列，稱為“UI 糾正攻擊”。根據隱藏內容的利用，這些攻擊可以分為兩個部分。這些隱蔽的攻擊是最受歡迎的攻擊之一。在不可見的 iframe 中集成頁面是這里最常用的策略之一。基于隱藏內容的一些其他類型的點擊劫持包括，

全透明疊加

這就是上面提到的實例中描述的方法。合法頁面也稱為工具頁面，將覆蓋或覆蓋在結構上創建的可疑網頁上。然后在不可見的 iframe 上設置工具頁面，并通過增加 z-index 值將其放置在可見頁面上。

z-index 指定元素的堆棧順序，最常出現在 CSS 中。使用全透明覆蓋識別的最著名案例之一是針對 Adob??e Flash 插件設置。它誘使用戶訪問 Flash 動畫以及系統的主攝像頭和麥克風。

裁剪

黑客只會從透明頁面到目標頁面疊加一組特定的控件來演示這種攻擊。這意味著隱藏帶有不可見鏈接的按鈕，以確保它執行與預期不同的行為，所有這些都取決于攻擊的目標。攻擊模式還包括使用偽造指令隱藏文本標簽，使用不準確的命令更改按鈕。

它甚至可能涉及用惡意和不正確的信息完全隱藏整個頁面，除非只有一個原始按鈕。這些提到的每一種行為都屬于裁剪范圍。

偽裝疊加

偽裝覆蓋是第一個可操作的點擊劫持實例。黑客創建了一個包含可疑信息的 1x1 像素 iframe，并將其放置在光標下方。它成功地將它從用戶的視圖中隱藏起來，如果您使用光標進行任何點擊，它將在該可疑頁面上注冊用戶。

單擊事件丟棄

該方法涉及在前臺顯示的合法頁面，使其成功隱藏其背后的可疑頁面。然后，黑客將峰值處的 CSS 指針事件屬性設置為 nil。它會導致所有點擊事件直接通過合法的屏蔽頁面。更重要的是，它還會將您直接注冊到包含可疑信息的頁面。

增加內容替換

使用模糊疊加覆蓋目標控件。這個動作只執行幾分之一秒或片刻，直到用戶點擊它，一旦完成，它就會被立即替換。攻擊的性質涉及黑客準確預測用戶點擊的位置，并且不需要任何先前的計算機使用習慣。這聽起來很棘手，但它非常簡單。

攻擊者還可以在不利用點擊劫持漏洞的情況下插入疊加層。他們有許多選項可以誘使用戶點擊他們希望他們點擊的控件。其中一些技巧包括：

滾動

黑客將從屏幕上部分滾動合法的網絡元素或對話框，使用戶只能看到一些控件。例如，可以滾動關閉提及警告的對話框，以便用戶只能看到“取消”和“確定”按鈕。黑客會放置一個非常安全的提示文本，其中會提到您必須單擊此按鈕才能繼續操作，而不是將其作為警告刷掉。

重新定位

這種攻擊需要黑客在光標下移動一個真正的對話框。同時，用戶會被一些看起來非常無害的其他項目分散注意力。黑客還使用這些項目通過有目的地重新定位來分散用戶對主要事物的注意力。

如果此操作有效，用戶將在意識到頁面上的某些內容已更改之前自動單擊替換的控件。這個操作和快速的內容替換過程比較相似，黑客會把對話移回原來的位置，避免被識別。

拖放

雖然許多點擊劫持攻擊都將注意力集中在點擊攔截上，但可以對拖放漏洞進行編程以誘騙用戶執行一系列活動。它可以包括通過將不可見文本拖入隱藏文本框或向黑客公開機密個人信息來完成 Web 表單。

其他不同形式的攻擊

用戶和網頁元素動態交互，這可以通過 DOM、JavaScript 和 CSS 的融合來實現。這些工具為攻擊者提供了多種選項來誘使用戶執行各種不需要的活動。這是因為點擊劫持攻擊傾向于通過使用控件和其他誤導性信息來利用用戶的信任。這些有時很難檢測到，并且每一步都有可能發生新的攻擊。

如何停止點擊劫持？

大量的點擊劫持攻擊涉及在某個時間點將目標網頁設置到 iframe 中。因此，所有的預防方法都不允許框架。傳統的遺留解決方案使用客戶端腳本從這些框架中拆分頁面。盡管如此，現代方法和安全方法主要依賴于設置 HTTP 安全標頭來指定特定的成幀措施。其中一些措施如下：

框架破壞或框架破壞

在支持新的 HTTP 標頭變得流行之前，許多網站開發人員不得不部署專門的 framekiller 或 framebuster 腳本來阻止他們的頁面被“iframed”。第一個殺幀腳本是頂級的。這是為了確保這是現有頁面。但是這些腳本可以很容易地從外部框架中阻止或可以繞過。

因此，開發了一個更獨特和更全面的解決方案。盡管如此，仍有幾種方法可以繞過最詳細的幀殺手，并且在您希望為舊版瀏覽器提供基本安全性的情況下，必須使用這些腳本。 OWASP 官方提倡的這種方法是屏蔽 HTML 文檔主體，只有在適當驗證頁面不是“iframed”后才使其可見。

X-Frame-Options

目前最好的解決方案之一是 X-Frame-Options (XFO)。它是用于服務器響應的 HTTP 響應標頭。它由 Microsoft 為 Internet Explorer 8 引入，然后在 RFC 7034 中正式化。XFO 標頭用于標識頁面是否可以集成到 iframe、嵌入或對象元素中。 XFO 支持三個指令。

• 阻止可能的框架嘗試的矛盾
• 使用同源元素允許按同一來源的頁面進行框架化。
• 使用 allow-from 元素允許來自指定 URL 的頁面框架

但是許多瀏覽器不支持 allow-from 元素，包括 Safari 和 Chrome。因此，如果要識別來源，則需要使用 CSP 或內容安全策略。為了防止反成幀，您需要在服務器標頭中添加 X-Frame-Options: deny 或 X-Frame-Options: same-origin。

具有框架祖先的內容安全策略

創建 CSP HTTP 標頭是為了防止 XSS（跨站點腳本）和其他攻擊。此外，它還提供了一個 frame-ancestors 指令，用于逐項列出允許在 iframe 中集成頁面的源。它甚至可以在對象、嵌入或小程序元素中集成頁面。

您可以指定任意數量的源和其他受支持的源值。這包括主機 IP 甚至地址、方案類型、“self”以逐項列出當前文檔的來源，并使用“none”來停止允許嵌入程序。

所有這些選項都為用戶在復雜的部署場景中進行源定義提供了很大的靈活性。對于基本安全性，“self”和“none”就足夠了。前者相當于XFO的同源指令，而后者類似于'deny'是XFO。

雖然它可能無法為您提供有關點擊劫持的完整保證，但 XFO HTTP 標頭是提高一般網站靈活性的通用方式。它不僅消除了基本的點擊劫持嘗試，還消除了許多其他弱點。CSP 指令還應為您提供與 XFO 等效的保護，但后者也被廣泛接受和推薦，即使它現在已被棄用。

如果兩個標頭都存在，CSP 將指向最重要的幀祖先，并且 XFO 將被拒絕。但在一些舊瀏覽器（如 Chrome 40 和 Firefox 35）中的操作則相反。無論我們選擇什么措施，您都可以使用 Netsparker 檢查您訪問的網站是否有 XFO 和 CSP 標頭。您甚至可以確保所有安全策略都到位并且在所有網頁上保持一致。

除了服務器和客戶端的反幀方案，由于當今瀏覽器內置的安全措施，用戶可以避免點擊劫持。網頁渲染涉及多層檢查，以確保界面按用戶期望運行。該過程還包括反點擊劫持算法，該算法將對抗上述重新定位和滾動攻擊。瀏覽器還將接收選項以阻止不必要的彈出窗口和其他可疑網頁行為，并通知用戶發生了惡意活動。

點擊劫持——一種普遍存在的威脅

XFO 不是點擊劫持問題的永久解決方案。它被瀏覽器供應商和 CSP 的 frame-ancestors 指令普遍采用。該指令為相同的方法提供了更靈活的解決方案。XFO 和 CSP 的標頭都可以提供安全性，以抵御框架覆蓋和其他流行的點擊劫持攻擊的威脅。框架祖先可能會在未來觀察到普遍接受，以防止黑客猖獗使用 iframe。

了解點擊劫持不僅與 iframe 相關，這一點也很重要。這也是關于破壞用戶的信任并誤導他們關于他們在瀏覽器中看到的內容。需要注意的是，與網絡相比，大多數瀏覽流量來自移動瀏覽器。因此，創建偽造用戶界面的可能性很大，僅保護 Web 瀏覽器是不夠的。