Clickjacking (UI Redressing / UI-Täuschungsangriff)

Clickjacking ist ein Web-Angriff, bei dem ein Angreifer eine legitime Webseite mit einer unsichtbaren oder transparenten Ebene überlagert, sodass ein Nutzer unbeabsichtigt auf versteckte Schaltflächen oder Links klickt. Typische Schutzmaßnahmen sind der HTTP-Response-Header X-Frame-Options sowie der modernere Content Security Policy (CSP)-Mechanismus frame-ancestors, die das Einbetten der Seite in Iframes fremder Domains verhindern. In IT-Vergaben für Web-Applikationen sollten Auftraggeber diese Header-Konfigurationen als Mindestanforderung in das Sicherheitskonzept aufnehmen und durch Penetrationstests verifizieren lassen.