点击劫持

Also known as: 界面伪装攻击, click hijacking

一种把你真实的网站藏进攻击者页面里的伎俩，让访客点到自己看不见的东西——只需一个阻止你的网站被嵌入框架的简单设置即可防住。

它是什么

点击劫持是一种欺骗。攻击者把你真实的网站隐形地叠在（或压在）自己的页面上，再诱使访客去点一个看起来人畜无害的按钮。实际上这一点落在了你那个被藏起来的网站上——确认了一笔付款、改了一个设置，或批准了访客根本没打算批准的东西。你真实的网站只是照吩咐行事；访客只是看不见自己实际点了什么。

如果你的网站能被悄悄嵌进别人的页面，骗子就能像操纵木偶一样让你的客户在自己账户上做出动作——而在客户看来，这就像是你的网站干的。这是对信任的直接打击，还可能直接伤到客户的钱。

防御很直接：一个告诉浏览器**「不许把我的网站显示在别的网站框架里」**的设置。它对正常访客完全无感，并能彻底封死这种手法。一个普通的商业网站几乎没什么理由需要被嵌到别处，所以这通常是一项安全、免费的稳赚之举。

我们的免费检测会告诉你网站是否已防止被嵌入框架。如果还没有，点击劫持修复指南会说明如何加上这项保护设置——由网站管理方做一个小改动即可，不花钱。

Want to fix this on your own domain? See the free guide →