学习手册：窥探Web前端黑客技术

界面操作劫持是一种通过在可见输入控件上覆盖一层不可见的框(iframe)，使得用户误以为在操作可见控件，而实际上操作行为被不可见框劫持，执行不可见框的恶意支持代码，从而导致用户在不知情的情况下被窃取敏感信息、篡改数据等。

下面是一个点击劫持的简单例子，clickjacking.htm代码如下：

嵌入的inner.htm代码如下：

<input style=”width:100px;” value=”Login” type=”button” onclick=”alert(‘test’)”/> 

攻击过程：

• 攻击者精心构造一个诱导用户点击的内容，比如Web页面小游戏
• 将我们的页面放入到iframe当中
• 利用z-index等CSS样式将这个iframe叠加到小游戏的垂直方向的正上方
• 把iframe设置为100%透明度
• 受害者访问到这个页面后，肉眼看到的是一个小游戏，如果受到诱导进行了点击的话，实际上点击到的却是iframe中的我们的页面

（编辑：通化站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!