クリックジャッキング攻撃から身を守るにはどうすればよいですか？

何よりもまず、Webブラウザーを更新し続ける必要があります。プラグインとプラグイン関連のアプリケーション、特にJavaおよびFlashも同様です。

次に、NoScriptで ClearClick 機能を使用することをお勧めします。スクリプトをブロックする予定がない場合は、緩和された設定を使用できますが、ClearClickを必ず有効にしてください。この機能は、ほとんどのクリックジャッキング攻撃を防御します。

最後に、常識を行使します。 iPhoneを獲得するためにボタンをクリックするように指示するWebサイトは詐欺である可能性が高いため、リンクをクリックするように要求され、一部の露骨なコンテンツ（性的なコンテンツを含むビデオや画像など）のフルバージョンをダウンロードできます。 。同じことは 愚かなことを言っている子猫 のビデオを約束するウェブページにも当てはまります。

NoScript Firefox拡張機能は、クリックジャッキング攻撃からユーザーを保護するのに効果的です。

通常、この種の攻撃では、攻撃者がJavaScriptを使用してiframeをカーソルの下に移動する必要があります。したがって、攻撃者がJavaScriptを挿入できるWebサイトで実行する必要があります。 jsfiddle.netまたは類似のWebサイトへのリンクに注意してください。これらは、すでにホワイトリストに含まれている可能性があります。

一般的に（そしてこれは言うまでもないはずです）：疑わしいリンクをたどらないでください。 CSRFやマルウェアなど、Facebookアカウントへのクリックジャッキング攻撃よりも深刻な脅威があります。

クリックジャッキングから保護する最も簡単な方法は NoScript を使用することです。信頼できるページ以外のすべてのページのスクリプトを無効にします。さらに、 ClearClick を有効にします。

通常、クリックジャックしようとしているサイトでは、迂回的な方法で何かをするように求められ、クリックする必要がある要素が部分的に隠されている可能性があります。たとえば、1つの一般的なFacebookクリックジャックは、ランダムなテキストをテキストボックスに入力するように求め、次に、他の色の四角形によって部分的に隠されている青い四角形をクリックするように求めます。この場合、テキストボックスはコメントボックスであり、青い四角は「コメントを追加」ボタンであり、テキストが隠れています。

クリックジャッキングをチェックする簡単な方法の1つは、ページのソースを表示して、そこにあるはずのないiframeを探すことです。

1つのアプローチは、一般的なブラウジングとデリケートなブラウジングに個別のブラウザを使用することです。

おそらくChromeを一般的なブラウジングに使用します。オンラインバンキングをChromeタブで開いている場合、他のタブに信頼できないサイトがある場合、クロスサイトスクリプティング、CSRF、クリックジャッキングなど、あらゆる範囲のWeb攻撃に対して脆弱です。もちろん、オンラインバンキングがこれらの攻撃から保護されることを願っています。ただし、オンラインバンキングに別のブラウザを使用している場合は、あなたを保護するためにサイトに依存していません。

関連するアプローチは、1つのブラウザーを使用し、一度に1つのタブのみを開くことです。オンラインバンキングを行う場合は、すべてのタブを閉じ、1つのタブを開いてオンラインバンキングを行い、オンラインバンキングを行ってログアウトし、通常のブラウジングを再開します。これは同様の保護を提供します。しかし、ほとんどの人は2つの別々のブラウザーを使用することを好むと思います。

これはマルウェアから保護するものではありません。一般的なブラウジング用に1つの仮想マシンを用意し、機密ブラウジング用に別のVM=を使用することで、同様のアプローチを使用してマルウェアから防御できます。

また、これはSQLインジェクションなどの完全なサーバー側の脆弱性からユーザーを保護するものではありません。それについてあなたが本当にできることは何もありません。