【安全资讯】新型点击劫持攻击利用CSS与SVG技术突破同源策略

概要：

网络安全领域再现新型攻击技术，安全研究员Lyra Rebane近日披露了一种基于可缩放矢量图形（SVG）和层叠样式表（CSS）的新型点击劫持攻击方法。该技术巧妙地利用了SVG滤镜能够跨源泄露信息的特性，突破了Web同源策略的安全边界，为攻击者实施复杂的界面欺骗攻击提供了新途径。

主要内容：

该攻击的核心在于利用SVG滤镜的feBlend和feComposite功能构建逻辑门电路，从而实现对网页像素的任意计算处理。研究员Rebane在尝试用SVG和CSS复现苹果的液态玻璃视觉效果时，意外发现当该效果被置于iframe中时，竟能访问底层主网页的像素数据。这种技术突破使得攻击者能够在不依赖JavaScript的情况下，通过纯CSS实现复杂的攻击逻辑链。

攻击演示中，Rebane创建了一个概念验证攻击，能够窃取Google Docs文档内容。攻击界面伪装成“生成文档”按钮的弹窗，当用户点击时，底层代码会检测弹窗并显示验证码输入框。提交验证码的按钮实际上会将建议的文档文件添加到隐藏文本框中。虽然常规防御可通过设置X-Frame-Options头部阻止，但许多需要嵌入第三方网站的应用（如视频、社交媒体、支付服务等）往往允许框架嵌入。

更值得警惕的是，该攻击还可通过HTML注入在非框架目标上实施。对于已部署内容安全策略（CSP）防止恶意JavaScript执行的网站，攻击者可转而利用CSS作为替代攻击媒介。Rebane指出，SVG点击劫持虽未彻底改变网络安全格局，但显著简化了构建复杂攻击链的难度。目前该漏洞尚未完全修复，且影响范围涵盖Chrome、Firefox等多个主流浏览器。谷歌已为此漏洞支付3133.70美元漏洞赏金，但相关Chromium漏洞报告已被标记为“不予修复”。