El clickjacking es un ataque de seguridad web donde una página maliciosa engaña a los usuarios para que hagan clic en algo diferente de lo que perciben. El atacante carga la página objetivo en un iframe transparente superpuesto sobre su propia página, posicionándolo de modo que el clic del usuario en un elemento visible realmente active una acción en la página objetivo oculta.
Por ejemplo, un atacante podría superponer un botón transparente de "Eliminar cuenta" de un sitio bancario sobre un botón de "Reproducir video" en su página. Cuando el usuario hace clic para reproducir el video, sin saberlo hace clic en el botón de eliminar en el sitio bancario. El ataque explota la confianza que los usuarios depositan en la apariencia visual de la página que están viendo. Los libros sobre seguridad web en Amazon explican los vectores de ataque.
La defensa principal contra el clickjacking es la cabecera HTTP X-Frame-Options o la directiva frame-ancestors en Content Security Policy. Estas cabeceras indican a los navegadores si la página puede cargarse en un iframe y, de ser así, desde qué orígenes.
Para los servicios de acortamiento de URL, la protección contra clickjacking es importante para el panel de administración y cualquier página donde los usuarios realizan acciones sensibles como crear, editar o eliminar enlaces. Los endpoints de redirección son menos vulnerables porque no contienen elementos interactivos. Los libros sobre seguridad de la información en Amazon discuten estrategias de defensa integrales.