點擊劫持

點擊劫持（clickjacking）是一種在網頁中將惡意代碼等隱藏在看似無害的內容（如按鈕）之下，並誘使使用者點擊的手段。^[1][2][3][4]該術語最早由雷米亞·格羅斯曼（Jeremiah Grossman）與羅伯特·漢森（Robert Hansen）於2008年提出。這種行為又被稱為介面偽裝（UI redressing）。

點擊劫持可以被看成是責任混淆問題（confused deputy problem）的一個實例。^[5]

舉例來說，如使用者收到一封包含一段影片的電子郵件，但其中的「播放」按鈕並不會真正播放影片，而是鏈入一購物網站。這樣當使用者試圖「播放影片」時，實際是被誘騙而進入了一個購物網站。

通過在客戶端安裝NoScript或NoClickjack擴充等手段可以防止點擊劫持的發生。^[6]

參見

• 駭客 (電腦安全)
• 跨網站指令碼
• 釣魚式攻擊