Clickjacking
Abkürzungen / Synonyme: UI Redressing
Kurzdefinition
Ein Angriffsszenario, bei dem eine Website in ein unsichtbares Frame einer anderen Seite eingebettet wird, um Nutzer zu ungewollten Klicks zu verleiten.
Ausführliche Erklärung
Beim Clickjacking (UI Redressing) bettet ein Angreifer eine fremde Website unsichtbar (z. B. transparent oder überlagert) in seine eigene Seite ein. Der Nutzer glaubt, auf ein harmloses Element zu klicken, löst in Wahrheit aber eine Aktion auf der eingebetteten Seite aus – etwa eine Überweisung oder eine Berechtigungsfreigabe. Wirksamer Schutz ist es, die Einbettung der eigenen Seite zu unterbinden, klassisch über X-Frame-Options und modern über die CSP-Direktive `frame-ancestors`.
Beispiel
Ein Angreifer legt einen unsichtbaren «Löschen»-Button über einen scheinbaren «Gewinn abholen»-Button – der ahnungslose Klick löst die echte Aktion aus.
Im ausführlichen Fachartikel erklären wir Clickjacking mit Architektur, Praxisbeispielen und Best Practices im Detail: