WEB应用程序点击劫持漏洞研究及防御方法 摘要： 随着WEB应用程序的普及，点击劫持漏洞越来越受到人们的关注。本文首先介绍了点击劫持的概念及其危害，然后分析了点击劫持的原理和攻击手段。接着，对常见的点击劫持攻击策略进行了分类和总结，并列举了具体的攻击案例。最后，提出了点击劫持漏洞的防御方法，包括前端防御、后端防御和浏览器防御等多个方面。 关键词：WEB应用程序；点击劫持漏洞；危害；攻击手段；防御方法 一、点击劫持漏洞的概念 点击劫持漏洞（ClickjackingVulnerability），又称UI覆盖攻击、界面伪装攻击、界面欺骗攻击、装载攻击等。是指攻击者利用iframe或其他方式在网页上覆盖一层透明或半透明的界面，使用户误操作或不知情地点击攻击者想要的目标链接，实现攻击目标。点击劫持漏洞是一种跨站攻击（Cross-siteAttack），能够绕过同源策略（SameOriginPolicy）。 二、点击劫持漏洞的危害 点击劫持漏洞可以利用用户的点击行为，完成多种攻击目标。一些常见的攻击方式包括： 1.钓鱼攻击：攻击者将一个与真正网站一样的假界面加载到iframe中，用户以为是在原网站上进行操作，实际上操作的是假界面，从而填写个人信息、密码等敏感信息被盗。 2.网络勒索：攻击者将目标的网页内容替换成自己的勒索信息，要求目标支付赎金才能恢复原来的网页内容。 3.自动化攻击：利用自动化工具在你的账户上执行操作，例如删除邮件、转移资金等。 4.网络钓鱼：攻击者将一个假的收件箱放在攻击目标的网站上，来盗取个人敏感信息。 5.浏览器崩溃：攻击者的目的可能是卡住浏览器或者让用户的电脑自动下载、触发攻击者的下载程序等，从而利用浏览器漏洞下载或植入恶意软件。 三、点击劫持漏洞的原理和攻击手段 点击劫持漏洞的原理是攻击者利用iframe或其他方式，在目标网站上覆盖一个透明或半透明的图层，并在这个图层上布置一些攻击者希望用户点击的假链接或按钮。当用户在看到透明的图层后，误操作或不知情地点击假链接或按钮时，实际上是在进行攻击者想要的操作。这种攻击方式利用了浏览器的一个特性：同一页面中的多个iframe可以通过JavaScript互相操作。 点击劫持漏洞的攻击手段主要包括以下几种： 1.使用iframe来覆盖网页：攻击者通过使用iframe标签，在目标网站上覆盖一个透明图层，变相的欺骗用户点击虚假链接或按钮。 2.利用CSS样式隐藏按钮：攻击者通过CSS样式将目标网站上的按钮隐藏，再在一个与目标网站的样式一致的网页上布置假按钮，从而达到欺骗用户的目的。 3.JavaScript跨域访问：利用JavaScript跨域访问的特性，攻击者在目标网站上布置混淆代码，从而欺骗用户进行不必要的操作。 四、分类和总结常见的点击劫持攻击策略 分类不同的点击劫持攻击策略，主要按攻击手段和攻击目的来划分。 1.按攻击手段分： （1）Frame攻击：攻击者利用iframe标签将攻击代码嵌入目标网页。用户一旦点击嵌入页面上的链接或按钮，就会触发攻击者的操作。 （2）CSS攻击：攻击者通过CSS的样式隐藏目标网页上的按钮，同时在攻击者网页上放置一个伪造好的按钮，并通过JavaScript脚本控制这个按钮。用户点击伪造按钮，实际上是点击了目标网页上隐藏的按钮，从而受到攻击。 （3）点击透明图片攻击：攻击者把目标网站的数据放在透明图片中，再放在攻击者自己的网页上，使得用户在点击图片的同时，也会进行攻击者在目标网站窃取数据的操作。 2.按攻击目的分： （1）恶意软件下载攻击：攻击者利用点击劫持漏洞在目标网站上放置一个下载链接或伪造的“更新”按钮，用户一旦点击了这个链接或按钮，就会下载恶意软件。 （2）网络钓鱼攻击：攻击者在目标网站上布置一个与原网站相似的假网页，包括表单和输入框等，诱骗用户填写敏感信息。 （3）自动化攻击：攻击者使用自动化软件，集成了多种攻击技术，在浏览器中自动模拟用户登录目标网站，然后注入攻击代码并执行其他恶意操作。 五、点击劫持漏洞的防御方法 点击劫持漏洞的防御方法主要包括前端防御、后端防御和浏览器防御等多个方面： 1.前端防御： （1）使用X-FRAME-OPTIONS头：X-FRAME-OPTIONS是一种HTTP响应头，通知浏览器是否可以在frame、iframe或object元素中嵌套网页。通过设置X-FRAME-OPTIONS头为SAMEORIGIN，浏览器就可以限定只有同源网站可以嵌套网页。 （2）网站添加cookie属性：为了防止CSRF（Cross-siteRequestForgery）攻击，网站可以在页面中添加CSRFToken，下发给用户保存在cookie中，如果用户访问的页面在开始提交请求时，没有这个csrf-token值，服务器可以判定为