单击Jacking或UI redressing 是常见的网络安全攻击之一。在这种攻击中,最终用户会收到一个看起来合法的网页,并被诱骗点击UI中的某个内容。但在幕后,一个精心制作的页面被加载到外观合法的页面后面。
对于最终用户来说,它感觉像是在单击UI中的组件,但不幸的是,单击是在隐藏页面中的不可见组件上进行的,并且将执行为该按钮单击映射的操作。 ![图片[1]-单击Jacking/UI Redressing-yiteyi-C++库](https://www.yiteyi.com/wp-content/uploads/geeks/geeks_dsBuffer.bmp-1.png)
在本例中,用户收到一个垃圾邮件页面 苹果手机。php ,他/她很想点击免费的iPhone按钮。但实际加载的页面 苹果手机。php 是 转移php 可能是你银行网站上的网页。目标网站可以使用CSS隐藏。
用户只能看到iphone。php在接口中,不知道如何传输。php,其呈现方式完全落后于iphone。但是背景页面是隐藏的。点击iphone。php可以映射到点击传输。php定义了从账户转账的操作,这可能会让最终用户赔钱。
一个页面可以使用 iframe html标签。中给出了攻击者打算在其页面中加载的目标网站 src 属性在这种情况下,目标网站可能是 https://mybankwebsite.com/transferFunds.do 当用户从中单击按钮时,将执行转账操作 苹果手机。php
点击劫持纯粹基于鼠标点击事件,是一种非常简单的攻击。HTML的基本知识足以在网站中尝试点击劫持攻击。有许多活跃的漏洞赏金项目由不同的公司运行,为道德黑客提供一个平台,测试和报告其产品中潜在的安全漏洞。但大多数方案并不认为这是一个严重的脆弱性,只有极少数。
防止点击劫持——
确保网站内容不可框架(不应加载到iframe元素中)。这可以通过在网页中设置适当的响应标题来实现。响应头的名称为 X-Frame-Options .根据此标题上设置的值,页面可能会在框架元素中呈现,也可能不会呈现。
标题可以有三个可能的值:
- 拒绝X-Frame选项 背景
X-Frame-Options到DENY将阻止该页面加载到任何其他网页,包括您自己网站上的网页。 - X-Frame-Options:SAMEORIGIN 背景
X-Frame-Options到SAMEORIGIN将阻止页面加载到除网站中托管的网页之外的任何其他网页中,换句话说,这将只允许在您的域内进行框架设置。 - X-Frame-Options:ALLOW-FROM:URI 背景
X-Frame-Options到ALLOW-FROM : URI提供允许特定域在框架中加载所需页面的选项。
虽然没有标准的方法允许在allow FROM头中包含多个域,但有一些变通方法。您可以为每个域/组织提供唯一的端点/URL,并使用特定域名设置XFRAME-OPTION[Allow From]头。
作为最终用户,在点击广告/垃圾邮件页面中的组件以及打开来自不可信来源的电子邮件时,应始终小心。 参考资料:
![关于”PostgreSQL错误:关系[表]不存在“问题的原因和解决方案-yiteyi-C++库](https://www.yiteyi.com/wp-content/themes/zibll/img/thumbnail.svg)
