基本概念
一种视觉上的欺骗手段
eg.攻击者使用一个透明的、不可见的iframe覆盖在一个网页上诱导用户在该页面上进行操作
点击劫持利用的是与用户产生交互的页面,而CSRF是另外的页面
劫持类型
iframe点击劫持
控制iframe的长、宽以及调整top,left的位置,将iframe页面内的任何部分覆盖到任何地方
同时设置iframe的position为absolute,并将z-index的值设置为最大=>让ifame处于页面最上层
通过设置opacity来控制iframe的透明程度,值为0是完全不可见的
Flash点击劫持
目前Adobe公司已经修复了此漏洞
图片覆盖攻击
利用图片的style或控制css,使图片覆盖到页面上的任意位置形成点击劫持
拖拽劫持与数据窃取
诱导用户从隐藏的不可见iframe中“拖拽”出攻击者希望得到的数据
然后放到攻击者能够控制的另外一个页面中从而窃取数据
触屏劫持
针对触屏操作捕捉手机OS事件,将一个不可见的iframe覆盖到当前网页上来劫持用户的触屏操作
