Defaults.Exposed › Glossary › Clickjacking

Clickjacking

Also known as: UI redress attack, click hijacking

Прийом, при якому ваш справжній сайт ховається всередині сторінки зловмисника, щоб відвідувачі клікали по невидимих елементах. Захист — проста настройка, що забороняє вставляти ваш сайт у фрейми.

Що це таке

Clickjacking — це обман. Зловмисник завантажує ваш справжній сайт невидимо поверх (або під) своєю сторінкою, а потім заманює відвідувача клікнути по тому, що виглядає як нешкідлива кнопка. Насправді клік потрапляє на ваш прихований сайт — підтверджуючи платіж, змінюючи налаштування або схвалюючи щось, чого відвідувач ніколи не мав наміру робити. Ваш справжній сайт робить рівно те, що йому кажуть; відвідувач просто не бачить, по чому насправді клікає.

Чому це важливо для бізнесу

Якщо ваш сайт можна непомітно вбудувати в чужу сторінку, шахрай може примусити ваших клієнтів до дій у власних акаунтах — і клієнту здаватиметься, що це зробив ваш сайт. Це прямий удар по довірі і потенційно по гаманцях клієнтів.

Захист прямолінійний: налаштування, що каже браузерам «не дозволяти відображати мій сайт всередині фрейму іншого сайту». Він невидимий для легітимних відвідувачів і повністю закриває цю техніку. Рідко виникають підстави, щоб звичайний бізнес-сайт можна було вбудовувати в інші ресурси, тому це зазвичай безпечне й безкоштовне поліпшення.

Як перевірити та що робити

Наш безкоштовний інструмент повідомить, чи захищений ваш сайт від вбудовування у фрейми. Якщо ні, посібник з налаштування захисту від clickjacking показує, як додати захисне налаштування — невелика зміна, яку вносить той, хто керує вашим сайтом, без жодних витрат.

Want to fix this on your own domain? See the free guide →