Defaults.Exposed › Glossary › Clickjacking

Clickjacking

Also known as: UI redress attack, click hijacking

טריק שבו האתר האמיתי שלכם מוסתר בתוך דף של תוקף, כך שמבקרים לוחצים על דברים שאינם רואים — ניתן להגנה על-ידי הגדרה פשוטה שמונעת מהאתר שלכם להיות ממוסגר.

מה זה

Clickjacking הוא הונאה. תוקף טוען את האתר האמיתי שלכם באופן בלתי-נראה על גבי (או מתחת ל) הדף שלו, ואז מפתה מבקר ללחוץ על מה שנראה כפתור תמים. בפועל הלחיצה נוחתת על האתר הנסתר שלכם — מאשרת תשלום, משנה הגדרה, או מאשרת משהו שהמבקר לעולם לא התכוון. האתר האמיתי שלכם עושה בדיוק מה שנאמר לו; המבקר פשוט לא רואה על מה הוא לוחץ.

למה זה חשוב לעסק שלכם

אם האתר שלכם יכול להיטמן בשקט בתוך דף של מישהו אחר, נוכל יכול להפוך את הלקוחות שלכם לבובות שמבצעות פעולות בחשבונות שלהם — ועבור הלקוח זה ייראה כאילו האתר שלכם עשה זאת. זוהי פגיעה ישירה באמון, ואפשרות לפגיעה בכסף של הלקוחות שלכם.

ההגנה פשוטה: הגדרה שמודיעה לדפדפנים “אל תאפשרו לאתר שלי להיות מוצג בתוך מסגרת של אתר אחר.” היא בלתי-נראית למבקרים לגיטימיים ומכבה את הטכניקה לחלוטין. לעתים נדירות יש סיבה לאתר עסקי רגיל להיות ניתן להטמעה במקום אחר, לכן זהו בדרך כלל רווח בטוח וחינמי.

כיצד לדעת / מה לעשות

הבודק החינמי שלנו מספר לכם האם האתר שלכם מוגן מפני מסגור. אם לא, מדריך תיקון ה-clickjacking מראה כיצד להוסיף את ההגדרה המגנה — שינוי קטן שנעשה על-ידי מי שמנהל את האתר שלכם, ללא עלות.

Want to fix this on your own domain? See the free guide →