大家好我是冷曦，你们最喜欢的那个憨憨版主[心碎]
今天我用白帽子的身份给你讲一课[玫瑰]
“Web安全”⬅️⬅️⬅️⬅️⬅️
[给力]首先我给你们讲的第一课是点击劫持（ClickJacking）
那么什么是点击劫持呢？
我来解释一下吧！
所谓的点击劫持就是一种视觉上的欺骗手段，攻击者使用一个透明的，不可见的(iframe),覆盖在一个网页上，然后诱导使用户在该网页上进行操作，此时用户将在不知情的情况下点击透明的“iframe”页面，通过调整iframe页面位置，可以诱导用户恰好点击在iframe页面的一些功能性按钮上。
↘️↘️↘️↘️↘️↘️例如下面这个例子
在 http://www.a.com/test.html 页面中插入了一个指向目标的iframe，出于演示目的，我们让这个iframe变成半透明，代码由于三楼会乱码，所以图片展示
在这个test.html中有一个button，如果iframe 完全透明时，那么用户看到的是: CLICK HERE!按键
当iframe半透明时，可以看到，这button上面其实覆盖了另一个网页
（实际页面上，按钮隐藏了一个iframe窗口）
✔✔✔✔✔✔✔✔✔✔✔✔✔✔✔✔✔
当用户试图点击test.html里的button时，实际上却会点击到iframe页面中的搜索页面按钮。
⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️
分析其代码，起到关键作用的是下面几行:
↕️↕️↕️↕️↕️↕️↕️↕️↕️↕️↕️↕️↕️↕️↕️↕️↕️↕️↕️
通过控制iframe的长，宽，以及调整top，left的位置，可以把iframe页面内的任意部分覆盖到任何地方。同时设置iframe的position为absolite，并将z -index的值设置最大，以达到让iframe处于页面最上层。最后通过设置opacity来控制iframe页面透明程度，值为0是完全看不到。
这样，就完全了一次点击劫持攻击

本贴未经允许禁止转载，盗卖，否则追究法律责任
by:冷曦