点击劫持技术原理简述

界面劫持概念简述：
界面操作劫持攻击实际上是一种基于视觉欺骗的web会话劫持攻击，核心在于使用了标签中的透明属性，他通过在网页的可见输入控件上覆盖一个不可见的框，使得用户误以为在操作可见控件，而实际上用户的操作行为被其不可见的框所劫持，执行不可见框中的恶意代码，达到窃取信息，控制会话，植入木马等目的。
界面劫持发展过程：
（点击劫持）点击劫持又称UI-覆盖攻击，是2008年由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼提出点击劫持的概念。因为首先劫持的是用户的鼠标点击操作，所以命名叫点击劫持。主要劫持目标是含有重要会话交互的页面，如银行交易页面、后台管理页面等。曾经Twitter和Facebook等著名站点的用户都遭受过点击劫持的攻击。

（拖放劫持）在2010的Black Hat Europe大会上，Paul Stone提出了点击劫持的技术演进版本：拖放劫持。由于用户需要用鼠标拖放完成的操作越来越多（如复制粘贴、小游戏等等），拖放劫持大大提高了点击劫持的攻击范围，将劫持模式从单纯的鼠标点击拓展到了鼠标拖放行为。最主要的是，由于拖放操作不受浏览器“同源策略“影响，用户可以把一个域的内容拖放到另一个不同的域，由此攻击者可能通过劫持某个页面的拖放操作实现对其他页面链接的窃取，从而获得session key,token,password等敏感信息，甚至能将浏览器中的页面内容拖进文本编辑器，查看源代码。2011年出现的Cookiejacking攻击就是拖放攻击的代表，此攻击的成因是由于本地Cookie可以用标签嵌入，进而就可以利用拖放劫持来盗取用户的Cookie。
（触屏劫持）随着触屏技术的发展，clickjacking的攻击方式也更进一步，2010年斯坦福公布触屏劫持攻击。通过将一个不可见的iframe覆盖到当前网页上就可以劫持用户的触屏操作。由于手