點擊劫持

點擊劫持（clickjacking）是一種在網頁中將惡意代碼等隱藏在看似無害的內容（如按鈕）之下，並誘使用戶點擊的手段。^[1]^[2]^[3]^[4]該術語最早由雷米亞·格羅斯曼（Jeremiah Grossman）與羅伯特·漢森（Robert Hansen）於2008年提出。這種行為又被稱為介面偽裝（UI redressing）。

點擊劫持可以被看成是責任混淆問題（confused deputy problem）的一個實例。^[5]

舉例來說，如用戶收到一封包含一段影片的電子郵件，但其中的「播放」按鈕並不會真正播放影片，而是鏈入一購物網站。這樣當用戶試圖「播放影片」時，實際是被誘騙而進入了一個購物網站。

通過在客戶端安裝NoScript或NoClickjack擴充等手段可以防止點擊劫持的發生。^[6]

[1]
Robert McMillan. At Adobe's request, hackers nix 'clickjacking' talk. PC World. 2008-09-17 [2008-10-08]. （原始內容存檔於2015-07-17）.
[2]
Megha Dhawan. Beware, clickjackers on the prowl. India Times. 2008-09-29 [2008-10-08]. （原始內容存檔於2009-07-24）.
[3]
Dan Goodin. Net game turns PC into undercover surveillance zombie. The Register. 2008-10-07 [2008-10-08]. （原始內容存檔於2018-12-04）.
[4]
Fredrick Lane. Web Surfers Face Dangerous New Threat: 'Clickjacking'. newsfactor.com. 2008-10-08 [2008-10-08]. （原始內容存檔於2008-10-13）.
[5]
The Confused Deputy rides again! （頁面存檔備份，存於互聯網檔案館）, Tyler Close, October 2008
[6]
Giorgio Maone. Hello ClearClick, Goodbye Clickjacking. hackademix.net. 2008-10-08 [2008-10-27]. （原始內容存檔於2021-03-05）.

[1] [1]
Robert McMillan. At Adobe's request, hackers nix 'clickjacking' talk. PC World. 2008-09-17 [2008-10-08]. （原始內容存檔於2015-07-17）.

[2] [2]
Megha Dhawan. Beware, clickjackers on the prowl. India Times. 2008-09-29 [2008-10-08]. （原始內容存檔於2009-07-24）.

[3] [3]
Dan Goodin. Net game turns PC into undercover surveillance zombie. The Register. 2008-10-07 [2008-10-08]. （原始內容存檔於2018-12-04）.

[4] [4]
Fredrick Lane. Web Surfers Face Dangerous New Threat: 'Clickjacking'. newsfactor.com. 2008-10-08 [2008-10-08]. （原始內容存檔於2008-10-13）.

[5] [5]
The Confused Deputy rides again! （頁面存檔備份，存於互聯網檔案館）, Tyler Close, October 2008

[6] [6]
Giorgio Maone. Hello ClearClick, Goodbye Clickjacking. hackademix.net. 2008-10-08 [2008-10-27]. （原始內容存檔於2021-03-05）.

[1]

[2]

[3]

[4]

[5]

[6]

點擊劫持

Wikiwand in your browser!

點擊劫持

Wikiwand in your browser!

參見

參考資料