学习手册：窥探Web前端黑客技术

界面操纵挟制是一种通过在可见输入控件上包围一层不行见的框(iframe)，使得用户误觉得在操纵可见控件，而现实上操纵举动被不行见框挟制，执行不行见框的恶意支持代码，从而导致用户在不知情的环境下被窃取敏感信息、改动数据等。

下面是一个点击挟制的简朴例子，clickjacking.htm代码如下：

嵌入的inner.htm代码如下：

<input style=”width:100px;” value=”Login” type=”button” onclick=”alert(‘test’)”/> 

进攻进程：

• 进攻者全心结构一个诱导用户点击的内容，好比Web页面小游戏
• 将我们的页面放入到iframe傍边
• 操作z-index等CSS样式将这个iframe叠加到小游戏的垂直偏向的正上方
• 把iframe配置为100%透明度
• 受害者会见到这个页面后，肉眼看到的是一个小游戏，假如受到诱导举办了点击的话，现实上点击到的却是iframe中的我们的页面

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!