Clickjacking

O atacante engana o usuário para que ele clique em algo diferente do que ele percebe, geralmente usando um iframe transparente sobreposto a um site legítimo.

Estratégias de Defesa

1. Headers de Resposta

A forma mais comum de mitigar o Clickjacking é instruir o navegador a não permitir que o site seja emoldurado em um iframe.

X-Frame-Options: Use DENY ou SAMEORIGIN.
Content-Security-Policy (CSP): Use a diretiva frame-ancestors 'none' ou frame-ancestors 'self'.

2. Frame-busting Scripts

Embora menos robustos que os headers, scripts podem ser usados para forçar a página a ser o topo da hierarquia de janelas.

Melhores Práticas

✅ Como fazer

Configure o Header X-Frame-Options: DENY em todas as páginas sensíveis.
Implemente uma política de CSP moderna com frame-ancestors.

❌ Como não fazer

Não confie que o usuário terá um navegador atualizado sem configurar as proteções de lado do servidor.

Vulnerabilidades Web

Plataforma e Proteções

Navegador e Platform

Cookies e Sessão

Headers e Políticas

Frameworks e UI

Integração com APIs

Governança e Ferramentas

Clickjacking

Estratégias de Defesa

1. Headers de Resposta

2. Frame-busting Scripts

Melhores Práticas

✅ Como fazer

❌ Como não fazer

Navegador e Platform

Cookies e Sessão

Headers e Políticas

Frameworks e UI

Integração com APIs

Clickjacking ​

Estratégias de Defesa ​

1. Headers de Resposta ​

2. Frame-busting Scripts ​

Melhores Práticas ​

✅ Como fazer ​

❌ Como não fazer ​

Clickjacking

Estratégias de Defesa

1. Headers de Resposta

2. Frame-busting Scripts

Melhores Práticas

✅ Como fazer

❌ Como não fazer