Defaults.Exposed › Glossary › Clickjacking

Clickjacking

Also known as: attacco di UI redress, dirottamento del clic

Un raggiro in cui il tuo sito reale viene nascosto dentro la pagina di un aggressore, così i visitatori cliccano cose che non vedono — si difende con una semplice impostazione che impedisce di incorniciare il tuo sito.

Che cos’è

Il clickjacking è un inganno. Un aggressore carica il tuo sito autentico in modo invisibile sopra (o sotto) la propria pagina, poi induce un visitatore a cliccare quello che sembra un pulsante innocuo. In realtà il clic finisce sul tuo sito nascosto — confermando un pagamento, modificando un’impostazione o approvando qualcosa che il visitatore non intendeva fare. Il tuo sito reale fa esattamente ciò che gli viene detto; semplicemente il visitatore non vede su cosa sta davvero cliccando.

Perché conta per la tua attività

Se il tuo sito può essere incorporato in silenzio nella pagina di un altro, un truffatore può manovrare i tuoi clienti come marionette per compiere azioni sui loro stessi account — e per il cliente sembrerà che l’abbia fatto il tuo sito. È un colpo diretto alla fiducia, e potenzialmente al denaro dei tuoi clienti.

La difesa è semplice: un’impostazione che dice ai browser «non permettere che il mio sito venga visualizzato dentro la cornice di un altro sito». È invisibile ai visitatori legittimi e neutralizza del tutto la tecnica. Raramente un comune sito aziendale ha motivo di essere incorporabile altrove, perciò di solito è una vittoria sicura e gratuita.

Come capirlo / cosa fare

Il nostro controllo gratuito ti dice se il tuo sito è protetto dall’essere incorniciato. In caso contrario, la guida alla correzione del clickjacking mostra come aggiungere l’impostazione protettiva — una piccola modifica, fatta da chi gestisce il tuo sito, a costo zero.

Want to fix this on your own domain? See the free guide →