一、概念

点击劫持（Clickjacking）是一种 Web 安全攻击，通过欺骗用户点击一个看似无害的区域，实际上触发了恶意操作或访问了受害者不知情的网站。攻击者会将一个可见但透明的图层覆盖在一个欺骗性的网页上，当用户在网页上点击时，实际上点击的是图层下面的恶意元素或页面。

点击劫持的目的通常是获取用户的敏感信息、执行未经授权的操作或者欺骗用户访问恶意网站。攻击者可以通过调整图层的透明度和位置，使得用户无法察觉欺骗。这种攻击利用了现代 Web 应用中的浏览器行为和 HTML/CSS 的特性，通常难以被用户察觉。

二、防护措施

以下是一些预防点击劫持的常见措施：

1. 使用X-Frame-Options标头：通过设置X-Frame-Options标头为"deny"或"sameorigin"，可以禁止被嵌入到其他网站的页面，从而减少点击劫持的风险。
2. 使用Content Security Policy（CSP）：CSP 可以限制页面中可以加载的资源，包括嵌入的框架。通过配置 CSP 策略，可以限制页面在嵌入框架时出现点击劫持的风险。
3. 使用Frame busting技术：通过在页面中嵌入 JavaScript 代码，可以检测页面是否被嵌入到框架中，并在检测到时进行处理，例如将页面跳转到顶层窗口。
4. 保持浏览器更新：及时更新浏览器可以获取最新的安全修复和防御机制，从而减少点击劫持的成功率。
5. 提高用户的安全意识：教育用户在点击链接和执行操作时要保持警惕，尤其是在不信任的网站或未经验证的应用程序中。

综上所述，组合使用以上措施可以有效预防点击劫持攻击并提升 Web 应用的安全性。然而，点击劫持攻击的形式不断演变，因此在开发和部署 Web 应用时，应该密切关注最新的安全技术和最佳实践，以及时做出相应的调整和增强防护措施。

更新日志

2025/8/24 08:17

查看所有更新日志

• e7112-1于 2025/8/24