Defaults.Exposed › Glossary › Clickjacking

Clickjacking

Also known as: UI redress attack, click hijacking

یک ترفند که وب‌سایت واقعی شما در صفحه مهاجم پنهان می‌شود تا بازدیدکنندگان روی چیزهایی که نمی‌بینند کلیک کنند — با یک تنظیم ساده دفاع می‌شود که از نمایش سایت شما در یک فریم جلوگیری می‌کند.

چیست

Clickjacking یک فریب است. یک مهاجم وب‌سایت واقعی شما را به صورت نامرئی روی (یا زیر) صفحه خود بارگذاری می‌کند، سپس یک بازدیدکننده را فریب می‌دهد تا روی چیزی کلیک کند که مثل یک دکمه بی‌ضرر به نظر می‌رسد. در واقعیت کلیک روی سایت پنهان شما فرود می‌آید — تأیید یک پرداخت، تغییر یک تنظیم، یا تأیید چیزی که بازدیدکننده هرگز قصدش را نداشت. سایت واقعی شما دقیقاً همان کاری را می‌کند که گفته شده؛ بازدیدکننده فقط نمی‌بیند چه چیزی را کلیک می‌کند.

چرا برای کسب‌وکار شما اهمیت دارد

اگر سایت شما بتواند بی‌سروصدا در صفحه شخص دیگری جاسازی شود، یک کلاهبردار می‌تواند مشتریانتان را به اقداماتی در حساب‌های خودشان عروسک‌وار کند — و برای مشتری به نظر می‌رسد سایت شما آن را کرده است. این ضربه مستقیمی به اعتماد است، و بالقوه به پول مشتریانتان.

دفاع ساده است: یک تنظیم که به مرورگرها می‌گوید «اجازه ندهید سایت من در فریم سایت دیگری نمایش داده شود.» برای بازدیدکنندگان قانونی نامرئی است و این تکنیک را کاملاً خاموش می‌کند. به ندرت دلیلی وجود دارد که یک سایت کسب‌وکار معمولی در جای دیگری قابل جاسازی باشد، پس این معمولاً یک دستاورد ایمن و رایگان است.

چطور بفهمید / چه کاری بکنید

ابزار رایگان ما می‌گوید آیا سایت شما در برابر فریم‌بندی شدن محافظت می‌شود. اگر نه، راهنمای رفع اشکال clickjacking نشان می‌دهد چطور تنظیم محافظتی اضافه کنید — یک تغییر کوچک توسط هر کسی که وب‌سایتتان را مدیریت می‌کند، بدون هیچ هزینه‌ای.

Want to fix this on your own domain? See the free guide →