本文共 672 字，大约阅读时间需要 2 分钟。

点击劫持（ClickJacking）是一种视觉上的欺骗手段 。 攻击者使用一个透明的（即不可见的） iframe 页面，覆盖在一个正常网页上，然后诱使用户点击该网页，这时用户就会在不知情的情况下点击那个透明的 iframe 。 通过精心调整透明 iframe 的位置，就可以诱使用户恰好点击在所设计的恶意按钮上 。 请看下例：

    
           点我

运行结果：

真实的按钮，其实是没有带任何脚本的，但点击后，却跳转到了另一个页面！

真相是这样的：上述代码，在真实按钮上添加了一层看不见的 iframe，这个 iframe 带有链接，所以跳转到了另一个页面。

关键代码为：

iframe {	width: 900px;	height: 250px;		/*设置为绝对路径，并且置于真实按钮之上*/	position: absolute;	top: -135px;	left: -740px;	z-index: 2;		/*隐藏*/	filter: alpha(opacity=0);}

• 这里通过设置 iframe 的高度 、宽度、偏移量 top、left 以及绝对定位模式（ position 为 absolute）来精确控制需要诱导用户的动作位置。
• 还设置 z-index 的值大于实际按钮的 z-index 值，让其处于按钮上层 。
• 最后通过设置 opacity 来控制 iframe 的透明度。 0 表示完全不可见 。

点击劫持攻击，就是利用与用户交互的页面，在用户完全不知情的情况下，诱使用户完成某些恶意操作。

转载地址：https://deniro.blog.csdn.net/article/details/100601306 如侵犯您的版权，请留言回复原文章的地址，我们会给您删除此文章，给您带来不便请您谅解！