Der britische IT-Sicherheitsexperte Paul Stone hat auf der Hackerkonferenz Black Hat eine neue Generation sogenannter Clickjacking-Attacken demonstriert. Beim Clickjacking schiebt eine manipulierte Webseite beispielsweise einen durchsichtigen iFrame unter den Mauszeiger. Im Glauben, etwas auf der angezeigten Seite anzuklicken, klickt der Anwender jedoch auf Elemente in einem durchsichtigen iFrame einer anderen Seite, beispielsweise Buttons in Oberflächen auf anderen Webseiten. Stones Demos beschränken sich jedoch nicht auf Klicks, er kann auch Texte in Formulare eingeben oder im Browser des Opfers geöffnete Dokumente oder Quell-Texte auslesen. Stone macht sich dazu die Drag-and-Drop-API moderner Browser wie Interner Explorer, Firefox, Chrome oder Safari zunutze. Anstatt das Opfer auf eine bestimmte Stelle klicken zu lassen, lässt Stone den Anwender Objekte oder Texte aus dem sichtbaren Fenster in das unsichtbare iFrame ziehen.
Relevant kann das beispielsweise werden, wenn man bereits auf einer Webseite eines sozialen Netzwerkes eingeloggt ist und sich im unsichtbaren Frame eine weitere Seite des Netzwerkes öffnet, in die man dann unbewusst Inhalte platziert. Die Same Origin Policy der Browser schlägt in diesem Fall laut Stone nicht an, da die Elemente ja durch Zutun des Anwenders von einer Site zur nächsten wandern. So umgeht Stone ebenfalls Einschränkungen, die beispielsweise Cross-Site-Request-Forgery-Attacken verhindern sollen. Umgekehrt lässt sich Drag&Drop benutzen, um Inhalte aus einem geöffnetem Fenster in das unsichtbare Fenster des Angreifers zu kopieren respektive zu ziehen. Damit lassen sich laut Stone prinzipiell auch Quelltexte einer Webseite auslesen, in denen beispielsweise eine Session-ID oder ein Token zur Authentifizierung enthalten sind. Angreifer könnten so eine ganze Sitzung übernehmen.