DoubleClickjacking:绕过所有Clickjacking防护的新型UI攻击
2025-01-17
DoubleClickjacking是一种新型网络攻击,它利用双击事件的计时特性绕过所有已知的Clickjacking防护措施,包括X-Frame-Options头、CSP的frame-ancestors和SameSite: Lax/Strict Cookie。攻击者通过诱导用户双击一个看似正常的按钮,在毫秒级的时间内切换到另一个窗口,从而劫持用户的操作,例如授权恶意应用程序或更改账户设置。这种攻击几乎可以影响所有网站,因为它利用了mousedown和onclick事件之间的细微时间差,即使是最快或最慢的双击也无法避免。目前,一些网站已经采取了防御措施,例如在用户进行鼠标移动或键盘交互前禁用关键按钮,但这需要客户端的保护措施。长远来看,浏览器需要开发新的标准来防御DoubleClickjacking。
阅读更多