სანამ პირდაპირ თემაზე გადავიდოდეთ, ჯერ ვნახოთ თუ რას ნიშნავს ტერმინი Clickjacking, რომელიც ამ ბოლო დროს საკმაოდ დიდი პოპულარობით სარგებლობს. Clickjacking გახლავთ ერთი საიტის მეორეში ჩატვირთვის ფორმა iframe -ის გამოყენებით, რომელსაც "გადაფარებული” აქვს ტრანსპარენტული ფორმით სხვა გვერდი. როდესაც მასზე ახდენთ დაკლიკებას, ავტომატურად დაკლიკება ხდება დაფარულ საიტზეც. Clickjacking ხშირად გამოიყენება malware აპლიკაციების გასავრცელებლად.

დღეს ვისწავლით, თუ როგორ უნდა დავიცვათ საკუთარი საიტევი Clickjacking-გან. ამისათვის კი ყველაზე მარტივ ფორმას განხივილავთ, რომელიც ეფუძნება Javascript-ის გამოყენებას.

მეთოდი პირველი

ყველაზე მარტივი და ფრიად მოსახერხებელი ხერხია, როცა პარამეტრ location-ის გადამოწმება ხდება.  თუ frame ერთმანეთს არ ემთხვევა, მაშინ ეს იმის მანიშნებელია, რომ ჩვენი საიტის ჩატვირთვა ხდება სხვაგან. თუ მსგავსი რამ დაფიქსირდა, აქტუალური URL ჩვენს საიტზე უნდა გადმოვამისამართოთ. ეს კი ასეთნაირად ხდება:

<script type=”text/javascript”>
if (top.location != location) top.location = self.location;
</script>

აქვე უნდა ითქვას, რომ ეს მეთოდი 100% გარანტირებულ შედეგს არ იძლევა, რადგანაც უკვე მოიფიქრეს ფორმა, თუ როგორ უნდა გაუკეთონ ე.წ. ByPass  ამ სკრიპტს. ByPass გაკეთების რამდენიმე გზა არსებობს, ერთ-ერთი მათგანი კი Javascript error შექმნაა, რომელიც პრაქტიკულად შეუძლებელს გახდის გადამოწმების პროცესს.

მეთოდი მეორე

ეს მეთოდი ეფუძნება CSS გამოყენებას, რომელიც ხელს შეუშლის ჩვენი საიტის ჩატვირთვას სადმე, სხვაგან. პრინციპი კი შემდგომში მდგომარეობს: ვმალავთ ჩვენი საიტის "შემცველობას” და მხოლოდ ამის შემდეგ ხდება location-ის გადამოწმება. ჩასვით ეს კოდი

<style type=”text/css”> body { display:none; } </style>

header სექციაში. შემდეგ კი content-ის ფასაფარად გამოიყენეთ ეს კოდი:

<script type=”text/javascript”>
if (self == top) {
document.getElementsByTagName("body”)[0].style.display = ‘block’;
} else {
top.location = self.location;
}
</script>

ამგვარად, თუ თქვენი საიტი იქცა clickjacking-ის სამიზნე ობიექტად, თუ ჩვენს რჩევას გაითვალისწინებთ, ადვილად დაიცავთ საკუთარ საიტს.