龙空技术网

web安全之点击劫持

足智多谋香瓜ue 328

前言:

眼前你们对“js点击iframe里面按钮元素”可能比较着重,看官们都想要了解一些“js点击iframe里面按钮元素”的相关资讯。那么小编在网上收集了一些对于“js点击iframe里面按钮元素””的相关知识,希望看官们能喜欢,大家快快来学习一下吧!

点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。

点击劫持示意图

关键词是“隐藏”和“iframe”,通过设置高度最高的隐藏的iframe,让用户在不知道不觉得点击到这个iframe,进而暗地里发起一些操作。

通过控制iframe的长、宽,以及调整top、left的位置,可以把iframe页面内的任意部分覆盖到任何地方。同时设置iframe的position为absolute,并将z-index的值设置为最大,以达到让iframe处于页面的最上层。最后,再通过设置opacity来控制iframe页面的透明程度,值为0是完全不可见。

几种点击劫持:Flash点击劫持、图片覆盖点击、拖拽劫持与数据窃取

ClickJacking相对于XSS与CSRF来说,因为需要诱使用户与页面产生交互行为,因此实施攻击的成本更高,在网络犯罪中比较少见。但Click-Jacking在未来仍然有可能被攻击者利用在钓鱼、欺诈和广告作弊等方面,不可不察。

标签: #js点击iframe里面按钮元素