هر جایی کلیک نکنید

در روش ClickJacking کاربر از یکی از شاخه‌های Cross-site بهره می گیرد. 

در این روش کاربر به ظاهر روی یک دکمه یا لینک کلیک می‌کند اما در نهایت عملی دیگر انجام می‌پذیرد و یا کاربر به‌طور ناخواسته به سایت دیگری هدایت می‌شود. 

در روش ClickJacking کاربر با کلیک روی دکمه‌های نامرئی، مجوزی صادر می‌کند که خود از آن بی‌اطلاع است. 

در این روش نفوذگر از ضعف مرورگر بهره می‌برد، چرا که هر سایتی می تواند قربانی این روش شود و لزومی ندارد که کاربر به آن سایت اعتماد داشته باشد یا نه. 

صفحات وب به‌طور عمومی به وسیله کدهای HTML نوشته می‌شود. 

خود کدهای HTML مخرب نیستند اما می‌توانند شرایط را برای اجرای یک کد مخرب JavaScript ایجاد کنند. 

بدین ترتیب که پس از بارگذاری سایت و نمایش همه المان‌ها، صفحه نامرئی دیگری روی صفحه بارگذاری می‌شود. 

این صفحه نامرئی باعث پاک شدن تصاویر صفحه اصلی نمی‌شود و می‌تواند همه صفحه زیرین و یا بخشی از آن را بپوشاند. 

اگر چه نفوذگران معمولا قسمت‌های جذاب صفحه را انتخاب می‌کنند و بقیه صفحه را دست نخورده باقی می‌گذارند.

اما نمی‌توان به درستی دریافت که از چه روشی برای این کار استفاده می‌کنند و کیفیت آن چگونه است. در بسیاری از سایت‌ها این صفحه نامرئی با اولین کلیک کاربر روی سایت فعالیت خود را انجام داده و بلافاصله حذف می‌شود. 

یکی از دلایل مرسوم باز شدن صفحات تبلیغاتی، کلیک روی همین صفحه نامرئی است. مرسوم‌ترین و ساده‌ترین روش کلیک دزدی، استفاده از نمایشگرهای ویدئو در صفحات وب است. 

در بعضی از سایت‌ها یک Video بارگذاری می‌شود و به ظاهر دکمه Play تنها به یک کلیک کاربر نیاز دارد تا فایل شروع به پخش شدن کند اما درست بعد از بارگذاری صفحه اصلی، یک صفحه نامرئی روی آن قرار می گیرد و کاربر پس از کلیک روی دکمه Play دکمه نامرئی را فشار می‌دهد و دستورات دیگری را اجرا می‌کند. 

مرسوم‌ترین اتفاقی که پس از کلیک کردن روی یکی از این دکمه‌ها رخ می‌دهد، هدایت شدن به یک صفحه دیگر از اینترنت است اما با همین روش می‌توان حساب کاربری و یا بانکی کاربر را نیز سرقت کرد و یا به وب کم و میکروفون او دسترسی یافت. البته این تنها نمونه‌ای از یک ClickJacking است اما باید به این نکته توجه کرد که ClickJacking با مهندسی اجتماعی گره خورده است و سعی می‌کند از سوژه‌های جذاب و فریبنده برای مجبور کردن کاربر به کلیک روی دکمه نامرئی بهره ببرد. 

همان گونه که گفته شد، ضعف امنیتی مرورگرها به اضافه ضعف امنیتی سرویس دهنده‌های اینترنتی دلیل اصلی استفاده نفوذگران از روش ClickJacking یا کلیک دزدی است اما کاربران نیز می‌توانند با اتخاذ رویه‌ای امنیتی از افتادن در دام این کلیک دزد‌ها در امان بمانند. 

تا به امروز هیچ مرورگری به هیچ ابزاری برای جلوگیری از ClickJacking مجهز نشده است. 

اگر چه این نکته یکی از نگرانی‌های سازندگان مرورگر‌هاست اما روش نفوذ به هر مرورگری متفاوت است و طبیعی است که مرورگر‌های محبوب‌تر بیشتر در خطر قرار دارند. 

مرورگر فایرفاکس تنها مرورگری است که می‌تواند با استفاده از یک Add on در مقابل ClickJacking ایمن شود.