HTML

HTML是一种超文本标记语言

超文本也就是不只是文本类型

标记是指标记型语言

而浏览器, 就是HTML的解释器

HTML用途

都知道HTML是用来搭建网站的

HTML还包含CSS <style>和Javascript <script>

潜在漏洞

纯HTML的静态网页基本上没有什么漏洞, 因为是静态的网页, 不存在交互的问题, 顶多是白痴程序员把一些不该放出来的东西给链接出来了

但还是有不安全因素存在的

Iframe clickjack

点击劫持漏洞技术又称为界面伪装攻击 (UI redress attack )，是一种视觉上的欺骗手段。攻击者使用一个或多个透明的 iframe 覆盖在一个正常的网页上，然后诱使用户在该网页上进行操作，当用户在不知情的情况下点击透明的 iframe 页面时，用户的操作已经被劫持到攻击者事先设计好的恶意按钮或链接上。攻击者既可以通过点击劫持设计一个独立的恶意网站，执行钓鱼攻击等；也可以与 XSS 和 CSRF 攻击相结合，突破传统的防御措施，提升漏洞的危害程度。

操作方式

1. 黑客创建一个网页利用iframe包含目标网站
2. 隐藏目标网站，使用户无法察觉到目标网站存在
3. 构造网页，诱骗用户点击特定位置
4. 用户在不知情的情况下点击按钮，触发执行恶意网页的命令