微軟上周釋出的IE8 RC版瀏覽器強調可防堵點閱綁架（ClickJacking）漏洞。然後，隨後Google的Chrome及Mozilla的Firefox先後傳出含有點閱綁架漏洞，都讓點閱綁架問題再度浮上檯面，成為熱門討論議題。

點閱綁架漏洞是由WhiteHat Security技術長Jeremiah Grossman及SecTheory執行長Robert Hansen在去年9月首度揭露，該漏洞可讓駭客仿造合法網頁，並將偽造的透明網頁藏於合法網頁下，因此使用者以為是在合法網頁上的滑鼠點選，實際上是觸動了惡意網頁的指令。如果駭客偽造的是銀行網頁，那麼使用者也許只是按了某一個網頁連結，卻可能是將錢轉到陌生的帳戶中，駭客也可透過此漏洞讓使用者下載惡意程式或是執行任何功能。

當時這兩名資安人員指出所有的瀏覽器都含有該漏洞，無一倖免。而一名安全研究人Aditya Sood則在上周發表了針對Chrome瀏覽器的點閱綁架漏洞概念性驗證程式，該程式除了影響Chrome外，Firefox亦在危及名單內，Google已著手修補相關漏洞並不忘表示所有瀏覽器都會受到點閱綁架漏洞影響。

我不懂這要怎麼防耶....
不是只要控制 onclick 就可以執行 JavaScript 了嗎?

是啊，只要：
<a href="http://google.com/" onmouseup="this.location='http://yahoo.com/';">Google</a>
就夠算是 clickjacking 了。

那要怎麼防？
都不要有連結就很安全喔？