什么是点击劫持？

    点击劫持，也称为 UI 补救攻击，是一种常见的黑客技术，攻击者在其中创建不可见的页面或覆盖合法页面的 HTML 元素。它旨在诱使你单击该页面上的特定按钮或元素。在点击劫持中，你可能认为你点击的是合法按钮，但实际上你点击的是透明的叠加层。这个透明元素可能：

   在你的设备上秘密下载恶意软件；

   将你引导至恶意网站；

   获取你的登录凭据；

   在社交媒体上传播蠕虫；

   为你不打算购买的东西付费；

   激活你的网络摄像头和/或麦克风。

点击劫持攻击也有一些变化：

   无浏览器——顾名思义，不需要浏览器的技术。此方法通常用于在移动设备上劫持通知。

   Cookie劫持——在这次攻击中，黑客窃取了你的浏览器 cookie。通常，受害者会被提示移动一个无害的物体，但实际上会复制他们cookie的全部内容并将其提供给黑客。

   文件劫持– 一种黑客诱骗你在 Web 浏览器上建立活动文件服务器连接的技术，以便他们可以访问你设备上的文件。

点击劫持预防

1.服务器端

    点击劫持不会影响网站本身，但如果你拥有该网站，黑客可能会使用你的内容，创建一个具有相似 URL 的相似网站，并将其用于点击劫持攻击。由于点击劫持攻击基于将页面包装在 iframe 中，然后在其上添加不可见元素，因此你需要确保禁用框架以保护你的网站。你可以通过：

    HTTP报头可以被用于确定是否浏览器应该允许网页被包裹在框架，IFRAME或对象标签。在内容安全策略HTTP标头提供的安全性比X-框架选项的范围更广。它允许你将允许嵌入页面的域和可以加载脚本和字体等资源的域列入白名单。

     帧杀是一种主要用于旧浏览器的技术。你需要做的就是将框架终止Javascript插入到你不想包含在外部iframe中的页面中。大多数网页不需要嵌入。因此，杀帧很容易设置，并且可以提供高级别的点击劫持保护。

2. 客户端

    点击劫持可能会让用户感到担忧，但你可以通过安装浏览器扩展来保护自己。有些会阻止你点击不可见或“修正”的页面元素。关注兔子ip，了解最新的资讯。兔子IP是知名的 动态ip 代理服务供应商，致力于为用户提供各种场景所需的 全国IP代理 服务。一键切换ip，自动过滤重复，高效实用，安全可靠。