Clickjacking (klik-lapurreta edo klik-bahiketa) Internet erabiltzaileak engainatzeko malware teknika da, informazio pribatua eskuratzeko edo hauen ordenagailuen kontrola lortzeko erabili ohi dena, eta iruzurrezko web-orri batean klikatuz abiarazten dena. Horrelako eraso batean, hainbat tresna erabiliz (script, iframe, CSS eta testu-kutxak), erasotzaileak erabiltzailearen datuak biltzeko ahalmena lortzen du bere menpe dagoen geruza batean, eta hainbat metodoren ondorioz erabiltzailearentzat ikusezin geratzen dena.
Clickjackingaren eraginkortasuna HTML web-orri baten kaltegabetasunari esker dator, ustekabeko ekintzak burutzea ahalbidetzen dituztenak. Teknika hau aurrera eramateko hainbat metodo daude:
Mozilla Firefox-era gehi daitekeen add-on bat, ikusezin dauden pantailetan klikatzea saihesten duena.
Google Chrome, Mozilla Firefox, Opera eta Microsoft Edge erabiltzen dutenentzako add-on bat, benetazko iframe-ekin talka egin gabe.
NoClickjack-ekin batera lan egiten duen babeserako produktu komertziala, kasu honetan Internet Explorer bilatzailearentzat.
Internet Explorer abiapuntutzat hartuta, Microsoft Research-ek egindako bilatzailea da, bere clickjacking-aren kontrako babes propioak dituena. Hemen, leiho baten edukiak beste baten gainean jar daitezke soilik ikusgarriak badira.
Elementu baten ikusgarritasunaren kontzeptua sortzen du, horrela, elementuak noiz dauden estalita jakitea ahalbidetzen du.
Webgune jabeak haien erabiltzaileak babesteko erabili dezaketen JavaScript "snippet" bat. Baina hau ez da guztiz hutsezina, batez ere Internet Explorer erabiltzean, non iframe segurtasuna erraz alda daitekeen.
<IFRAME SECURITY=restricted>
2009an Internet Explorer 8 bilatzailean sortutako HTTP goiburu bat, clickjacking-aren kontrako babes partziala eskaintzen zuena, eta beste bilatzaileek(Safari, Firefox, Chrome eta Opera) barneratu zutena denbora gutxira.
frame-ancestors
zuzentarauak edukiaren txertaketak baimendu edo ezeztatu ditzake zuzenean, X-Frame-Options zaharkituz. Biak goiburu bezala aurkitzean, hau izango litzateke lehentasuna duena.
Clickjacking terminoa ingelesetik hartuta dago, Jeremiah Grossman eta Robert Hansenen esku sortua 2008an,[1] UI redressing bezala ere ezagutu zena. Ordezkoaren nahasketa arazoaren[2] aldaera bezala ikus daiteke clickjackinga. 2011ko Europar Batasunaren pribatutasun zuzentaraua, cookien legea bezala ezagutzen dena, erabiltzaileen datuak gordetzen dituzten webgune guztiak abisu bat jarri behar dutela esaten du. Azken aldian, abisu hau moldatzean oinarritzen den erasoa aurkitu da, abisuaren klika lapurtzeko eta beste webgune desberdin bat irekitzeko. Antzemandako erasoak ikusgarri ez den publizitatea barneratzen dute pribatutasunaren abisuan. Abisuaren edozein tokian klik eginda, publizitatearen webgunera bidaltzen dituzte erabiltzaileak.[3]