15.6. 单击jacking

单击jacking 是一种欺骗用户的技术，单击与用户不同的用户界面元素。恶意站点将目标站点加载为透明 iFrame，在一组虚拟按钮之上直接放置在目标站点上的重要按钮下。当用户点击可见按钮时，它们将点击隐藏页面上的按钮。攻击者可以利用这个方法窃取用户的身份验证凭据并访问其资源。

默认情况下，红帽构建的 Keycloak 的每个响应都会设置一些特定的 HTTP 标头，这些标头可能会阻止发生这种情况。具体来说，它设置 X-Frame-Options 和 Content-Security-Policy。您应该查看这两个标头的定义，因为有许多精细的浏览器访问您可以控制。