【IT168 资讯】本周，安全研究员再次发出警告，一个最新发现的跨浏览器攻击漏洞“Clickjacking”将会波及到各主要浏览器用户的使用安全。

　　SecTheory LLC公司创始人兼首席执行官Robert Hansen表示，该漏洞将会影响几乎所有主流平台，包括IE，Firefox，Safari，Opera 以及Chrome等。这个被称为 Clickjacking 的安全威胁，原本要在 OWASP NYC AppSec 2008 大会上公布，但包括 Adobe 在内的厂商请求暂时不要公开这个漏洞，直到他们开发出安全补丁。

　　在周五的一次访谈中，Robert Hansen还呼吁过留意clickjacking类似的跨站点请求伪造(Cross-Site Request Forgery，CRSF)。但是当前内置的反CRSF攻击机制还远不足以为浏览器、站点和Web应用程序提供类似防护。

　　发现这个漏洞的是，就是Robert Hansen 和他的研究伙伴 Jeremiah Grossman，他们已经透露了一点相关信息以显示该安全威胁的严重性。

　　这两名研究专家表示，他们所发现的绝非小问题，事实上，很严重。根据那些在 OWASP 参加过半公开性演示的人透露，这个漏洞非常紧急，将影响到所有的浏览器，而且它和 JavaScript 并没有关系。

　　当你访问一个恶意网站的时候，攻击者可以控制你的浏览器对一些链接的访问，这个漏洞影响到几乎所有浏览器，除非你使用 lynx 一类的字符浏览器。这个漏洞与 JavaScript 无关，即使你关闭浏览器的 JavaScript 功能也无能为力。事实上这是浏览器工作原理中的一个缺陷，无法通过简单的补丁解决。一个恶意网站能让你在毫不知情的情况下点击任意链接，任意按钮或网站上的任意东西。

　　比如在Ebay，因为可以嵌入 JavaScript，虽然攻击并不需要 JavaScript，但可以让攻击更容易进行。只有用 lynx 字符浏览器才能保护你自己，同时不要任何动态的东西。该漏洞用到 DHTML，使用防 frame 代码可以保护你不受跨站点攻击，但攻击者仍可以强迫你点击任何链接。你所做的任何点击都被引导到恶意链接上，所以，那些 Flash 游戏将首当其冲。

　　Hansen表示，他们已经同微软以及 Mozilla 谈论过这个问题，然而他们均表示这是个非常棘手的问题，目前没有简单的解决办法。

　　Grossman 确切表示，微软最新的IE8 和 Mozilla  最新的 Firefox 3 均不能幸免。当前，唯一的办法是禁用浏览器的脚本和插件功能。