Defaults.Exposed › Glossary › Clickjacking

Clickjacking

Also known as: UI redress attack, click hijacking

Tipu daya di mana laman web tulen anda disembunyikan dalam halaman penyerang supaya pelawat mengklik perkara yang tidak dapat mereka lihat — dilindungi oleh tetapan mudah yang menghalang laman anda daripada dibingkai.

Apa itu

Clickjacking adalah penipuan. Penyerang memuatkan laman web tulen anda secara tidak kelihatan di atas (atau di bawah) halaman mereka sendiri, kemudian menarik pelawat untuk mengklik apa yang kelihatan seperti butang yang tidak berbahaya. Pada hakikatnya klik itu mendarat pada laman anda yang tersembunyi — mengesahkan pembayaran, mengubah tetapan, atau meluluskan sesuatu yang pelawat tidak pernah niatkan. Laman tulen anda melakukan apa yang diperintahkan dengan tepat; pelawat hanya tidak dapat melihat apa yang mereka sebenarnya klik.

Mengapa ia penting untuk perniagaan anda

Jika laman anda boleh disematkan secara senyap dalam halaman orang lain, penipu boleh memaksa pelanggan anda melakukan tindakan pada akaun mereka sendiri — dan bagi pelanggan ia akan kelihatan seperti laman anda yang melakukannya. Itu adalah pukulan langsung kepada kepercayaan, dan berpotensi kepada wang pelanggan anda.

Pertahanannya adalah mudah: tetapan yang memberitahu pelayar “jangan benarkan laman saya dipaparkan dalam bingkai laman orang lain.” Ia tidak kelihatan oleh pelawat yang sah dan menutup teknik ini sepenuhnya. Jarang ada sebab laman perniagaan biasa perlu boleh disematkan di tempat lain, jadi ini biasanya adalah kemenangan yang selamat dan percuma.

Cara mengesan / apa yang perlu dilakukan

Pemeriksa percuma kami memberitahu anda sama ada laman anda dilindungi daripada dibingkai. Jika tidak, panduan pembaikan clickjacking menunjukkan cara menambah tetapan pelindung — perubahan kecil yang dibuat oleh sesiapa yang menguruskan laman web anda, tanpa kos.

Want to fix this on your own domain? See the free guide →