说说什么是点击劫持
发布日期:2021-06-29 21:01:38
浏览次数:2
分类:技术文章
本文共 672 字,大约阅读时间需要 2 分钟。
点击劫持(ClickJacking)是一种视觉上的欺骗手段 。 攻击者使用一个透明的(即不可见的) iframe 页面,覆盖在一个正常网页上,然后诱使用户点击该网页,这时用户就会在不知情的情况下点击那个透明的 iframe 。 通过精心调整透明 iframe 的位置,就可以诱使用户恰好点击在所设计的恶意按钮上 。 请看下例:
点击劫持演示
运行结果:
真实的按钮,其实是没有带任何脚本的,但点击后,却跳转到了另一个页面!
真相是这样的:上述代码,在真实按钮上添加了一层看不见的 iframe,这个 iframe 带有链接,所以跳转到了另一个页面。
关键代码为:
iframe { width: 900px; height: 250px; /*设置为绝对路径,并且置于真实按钮之上*/ position: absolute; top: -135px; left: -740px; z-index: 2; /*隐藏*/ filter: alpha(opacity=0);}
- 这里通过设置 iframe 的高度 、宽度、偏移量 top、left 以及绝对定位模式( position 为 absolute)来精确控制需要诱导用户的动作位置。
- 还设置 z-index 的值大于实际按钮的 z-index 值,让其处于按钮上层 。
- 最后通过设置 opacity 来控制 iframe 的透明度。 0 表示完全不可见 。
点击劫持攻击,就是利用与用户交互的页面,在用户完全不知情的情况下,诱使用户完成某些恶意操作。
转载地址:https://deniro.blog.csdn.net/article/details/100601306 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!
发表评论
最新留言
表示我来过!
[***.240.166.169]2024年04月22日 02时24分44秒
关于作者
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
-- 愿君每日到此一游!
推荐文章
我的sql自定义分页
2019-04-30
阿里入职培训,针不搓
2019-04-30
我的游标分页
2019-04-30
js比较两个String字符串找出不同,并将不同处高亮显示
2019-04-30
进程以下的那些事儿
2019-04-30
宏内核与微内核
2019-04-30
python异步函数中调用同步函数
2019-04-30
Python异步库里面的队列
2019-04-30
xv6的sleep和wakeup
2019-04-30
分布式系统 MapReduce
2019-04-30
分布式系统:RPC
2019-04-30
分布式系统:GFS
2019-04-30
分布式系统:Primary Backup - 故障容忍的虚拟机
2019-04-30
分布式系统:raft
2019-04-30
分布式系统:Raft(实验作业2A)
2019-04-30
分布式系统:Raft(实验作业2B)
2019-04-30
分布式系统:Raft(实验作业2C)
2019-04-30
一微秒的差别
2019-04-30
分布式系统:Raft(实验作业3A)
2019-04-30