15.5. 点jacking

单击jacking 是一个欺骗用户点击与用户感知不同的用户界面元素的技术。恶意站点在透明 iFrame 中加载目标站点，覆盖一组 dummy 按钮，直接放置在目标站点上的重要按钮下。当用户单击可见按钮时，会单击隐藏页面中的按钮。攻击者可以窃取用户的身份验证凭据，并使用此方法访问其资源。

默认情况下，红帽构建的 Keycloak 的每个响应都会设置一些特定的 HTTP 标头，这些标头可能会阻止发生这种情况。具体来说，它会设置 X-Frame-Options 和 Content-Security-Policy。您应该查看这两个标头的定义，因为可以控制很多精细的浏览器访问。