点击劫持

维基百科,自由的百科全书
跳转至: 导航搜索

点击劫持clickjacking)是一种在网页中将恶意代码等隐藏在看似无害的内容(如按钮)之下,并诱使用户点击的手段。[1][2][3][4]该术语最早由雷米亚·格罗斯曼(Jeremiah Grossman)与罗伯特·汉森(Robert Hansen)于2008年提出。这种行为又被称为界面伪装UI redressing)。

点击劫持可以被看成是责任混淆问题confused deputy problem)的一个实例。[5]

举例来说,如用户收到一封包含一段视频的电子邮件,但其中的“播放”按钮并不会真正播放视频,而是链入一购物网站。这样当用户试图“播放视频”时,实际是被诱骗而进入了一个购物网站。

通过在客户端安装NoScript扩展等手段可以防止点击劫持的发生。[6]

参见[编辑]

参考资料[编辑]

  1. ^ Robert McMillan. At Adobe's request, hackers nix 'clickjacking' talk. PC World. 2008-09-17 [2008-10-08]. 
  2. ^ Megha Dhawan. Beware, clickjackers on the prowl. India Times. 2008-09-29 [2008-10-08]. 
  3. ^ Dan Goodin. Net game turns PC into undercover surveillance zombie. The Register. 2008-10-07 [2008-10-08]. 
  4. ^ Fredrick Lane. Web Surfers Face Dangerous New Threat: 'Clickjacking'. newsfactor.com. 2008-10-08 [2008-10-08]. (原始内容存档于2008-10-13). [失效連結]
  5. ^ The Confused Deputy rides again!, Tyler Close, October 2008
  6. ^ Giorgio Maone. Hello ClearClick, Goodbye Clickjacking. hackademix.net. 2008-10-08 [2008-10-27].