文章揭示了一种新型"SVG点击劫持"技术，它突破了传统点击劫持只能进行简单交互的局限，能实现复杂交互攻击和数据窃取。作者受苹果液态玻璃设计启发，通过CSS/SVG技术复现了类似效果，意外发现了这种更强大的攻击方式。

SVG滤镜点击劫持2.0：一种新型复杂攻击技术

技术背景

点击劫持（Clickjacking）是一种传统攻击方式，通过覆盖其他网站的iframe诱导用户误操作。但传统方法仅适用于简单场景，如诱使用户点击按钮，难以实现复杂交互。

突破性发现

作者发现了一种名为"SVG点击劫持"的新技术，利用SVG滤镜实现： 1. 可创建复杂的交互式点击劫持攻击 2. 支持多种数据泄露形式 3. 技术灵感来源于苹果Liquid Glass设计的网页复现

核心技术原理

SVG滤镜通过<fe*>元素链式操作图像： - 基础元素包括：feImage(加载图像)、feFlood(绘制矩形)、feOffset(位移)、feDisplacementMap(像素位移)等 - 通过组合这些元素可以实现： * 伪造验证码（使用feDisplacementMap扭曲文本） * 隐藏灰色文本（使用feComposite算术运算） * 像素读取（检测特定颜色区域）

逻辑门实现

更惊人的是，SVG滤镜可以实现完整逻辑门： - 基础逻辑门：NOT、AND、OR、XOR等 - 实际案例：构建了4位加法器电路 - 应用场景：可编程实现多步骤攻击流程

实际攻击案例

1. Google Docs攻击：

   • 诱导用户点击"生成文档"按钮
   • 检测弹窗后显示伪造的验证码输入框
   • 通过检测文本框状态变化控制攻击流程
   • 获得Google漏洞奖励$3133.70

2. QR码攻击：

   • 在SVG滤镜内生成可扫描的QR码
   • 包含Reed-Solomon纠错算法实现
   • 可将窃取的数据编码为可扫描链接

技术独特性

这是首次公开的SVG滤镜点击劫持技术： - 与传统仅用于视觉遮蔽的SVG滤镜攻击不同 - 实现了在滤镜内运行完整逻辑的能力 - 作者结合了安全研究和创意项目的独特视角

防御建议

网站应采取措施防范此类新型攻击： 1. 使用X-Frame-Options防止被iframe嵌入 2. 实施内容安全策略(CSP)限制SVG滤镜使用 3. 对敏感操作增加二次验证

该技术展示了Web安全的新挑战，将传统视觉欺骗提升到了可编程交互攻击的新高度。

评论总结：

1. 安全担忧观点：

• 认为CSS和SVG可能被黑客和恶意广告商滥用(autoexec) 引用："It's too bad people couldn't leave CSS alone... begging for it to be abused by hackers" "我出于安全原因已经禁用SVG，现在看起来可能还得禁用CSS"

2. 实际影响观点：

• 网站运营者表示担忧但希望不受影响(scoofy) 引用："As someone who runs a site that uses inline SVG, this is unfortunate" "运营使用内联SVG网站的人表示遗憾"

3. 历史案例观点：

• 提到2010年Facebook点击劫持案例(paulpauper) 引用："A long time ago there was a facebook clickjacking method" "很久以前存在过Facebook点击劫持方法"

4. 艺术欣赏观点：

• 赞赏SVG的艺术价值(zephraph) 引用："The SVG adder is art. Love it." "SVG加法器是艺术品，喜欢它"

5. 风险轻视观点：

• 认为点击劫持风险被夸大且容易防范(bawolff) 引用："clickjacking is really overrated and its easy to address" "点击劫持被高估了，而且很容易通过x-frame-options解决" "大多数攻击场景在现实中非常不切实际"