Defaults.Exposed › Glossary › Кликджекинг (clickjacking)

Кликджекинг (clickjacking)

Also known as: подмена интерфейса, перехват кликов, UI redress attack

Приём, при котором ваш настоящий сайт прячут внутри страницы злоумышленника, чтобы посетители нажимали на то, чего не видят — защищает простая настройка, запрещающая встраивать ваш сайт в чужой фрейм.

Что это

Кликджекинг — это обман. Злоумышленник невидимо загружает ваш настоящий сайт поверх (или под) своей страницей, а затем заманивает посетителя нажать на якобы безобидную кнопку. На деле клик попадает на ваш скрытый сайт — подтверждая платёж, меняя настройку или одобряя то, чего посетитель вовсе не хотел. Ваш настоящий сайт делает ровно то, что ему велено; просто посетитель не видит, на что в действительности нажимает.

Почему это важно для бизнеса

Если ваш сайт можно незаметно встроить в чужую страницу, мошенник может управлять вашими клиентами как марионетками, заставляя их совершать действия в их же аккаунтах — и для клиента всё будет выглядеть так, будто это сделал ваш сайт. Это прямой удар по доверию и, возможно, по деньгам ваших клиентов.

Защита проста: настройка, которая говорит браузерам «не разрешать показывать мой сайт внутри фрейма другого сайта». Для обычных посетителей она невидима и полностью перекрывает этот приём. Обычному бизнес-сайту редко нужно быть встраиваемым где-то ещё, так что это, как правило, безопасный и бесплатный выигрыш.

Как проверить и что делать

Наша бесплатная проверка сообщит, защищён ли ваш сайт от встраивания в фрейм. Если нет, руководство по защите от кликджекинга показывает, как добавить защитную настройку — небольшое изменение от тех, кто управляет вашим сайтом, и бесплатно.

Want to fix this on your own domain? See the free guide →