點擊劫持是什么意思？

下面我們在很多可能的場景中舉一個例子：到網站的一名訪客認為他正在點擊關閉窗口的按鍵，相反地，點擊“X”鍵的行為促使電腦下載木馬（Trojan horse）、轉移銀行賬戶里的我或者打開電腦的內置話筒。

這個托管網站可能是被劫持的合法網站或某些知名網站的盜版。

攻擊者通過鏈接或郵件信息騙取用戶來訪問該網站。

研究人員Jeremiah Grossman和Robert Hansen發現了這個漏洞。

他們是這么描述這件事的： 試想下那些能讓你進入瀏覽器墻、銀行電匯、推薦按鍵、CPC廣告橫幅、Netflix隊列的所有網站的所有按鍵，不管是內部的還是外部的，這個清單幾乎是無限長的，且相對來說這些例子都是無害的。

下一步，考慮如果攻擊可以無形地隱匿在用戶點擊的按鍵下，所以當他們點擊他們看到的東西時，實際上他們已經點擊了攻擊者想讓他們點的東西。

如果說你有一個家用式無線路由器，那么你就有了通過認證的瀏覽網站優先權。

惡意代碼可能在你要點擊的內容中置入一個標簽，在一個簡單按鍵中設計一個路由命令，如刪除所有防火墻規則。

據說它由瀏覽器軟件中的組成缺陷引起并會影響IE、Firefox、Safari和Opera。事實上，只有Lynx一類的非GUI瀏覽器受到保護，僅僅是因為這些界面中沒有東西可點擊。 根據Hansen所說，點擊劫持（clickjacking）有多種變體：“其中有些需要跨域訪問，有些不需要。有些在一個頁面上覆蓋整個頁面，有些用內置頁框來讓你點擊一點。有些需要Java腳本語言（JavaScript），有些不需要。”

Facebook是常常發生點擊支持（clickjacking）的場所。這里舉一個更新狀態的例子：“我的天，這家伙在對他前女友有復仇心時就有點過了。”

用戶點擊的這個鏈接用仿造的CAPTCHA呈現，它實際上鏈到Facebook上的“喜歡”和“分享”按鍵。

當用戶回應時，這個偽造的狀態更新鍵將內容提交到他的Facebook頁面，同時還發布他喜歡這個視頻。

在Facebook上，大部分點擊劫持應用都是為了收集用戶信息和傳播垃圾信息，盡管也有一些釣魚攻擊報道出來。

Ken Harthun在他的Security Corner博客中建議，“針對現在的情況，不管你現在用的那種瀏覽器，每個人都應該馬上讓腳本和內置頁框失效。