前言：點擊劫持與密碼管理器的安全挑戰

密碼管理器被廣泛視為保護網路帳戶安全的關鍵工具。然而，一項針對多款熱門密碼管理器瀏覽器擴充功能的測試研究發現，它們普遍容易受到一種稱為「基於 DOM 的擴充功能點擊劫持」（DOM-based Extension Clickjacking）的攻擊。這種攻擊利用了網頁瀏覽器與擴充功能之間的互動漏洞，能欺騙使用者在不知情的情況下，點擊惡意網頁上隱藏的元素，進而導致密碼管理器自動填充並洩漏敏感資訊，包括登入憑證、信用卡資訊及雙因素認證（2FA）代碼。

一、攻擊機制深度解析

點擊劫持攻擊的核心在於「使用者介面重繪」（UI Redressing）。攻擊者創建一個惡意網站，並在其中嵌入一個透明、不可見的 iframe 框架，將其精準地疊加在一個看似無害的元素（例如「關閉」、「同意條款」或任何按鈕）之上。當使用者點擊這個無害元素時，其點擊動作實際上會被劫持，作用於隱藏在下方的 iframe 內的惡意表單。

在此次針對密碼管理器的攻擊中，攻擊者利用了密碼管理器的自動填充功能。當使用者被誘騙點擊時，密碼管理器會將儲存的憑證自動填入到隱藏的惡意表單中。由於某些密碼管理器在自動填充時不僅會考慮主域名，也包含子域名，攻擊者只需在具備跨站指令碼（XSS）或其他漏洞的子域名上設置陷阱，就能以一次點擊的代價，竊取使用者儲存的所有相關資料，甚至包含與該域名不直接相關的個人資料和信用卡資訊。

二、使用者層面的防護措施優化

為了有效抵禦這類攻擊，使用者應採取多層次的防護策略：

• 停用自動填充功能： 這是最直接且最有效的防護措施。使用者應在密碼管理器設定中停用自動填充功能。改為手動複製（Copy）和貼上（Paste）所需的憑證，雖然會增加操作步驟，但能確保資料僅在使用者明確控制下被輸入，從根本上避免因點擊劫持而導致的自動資料洩漏。
• 謹慎授權擴充功能： 對於基於 Chromium 的瀏覽器使用者，建議進入擴充功能設定，將密碼管理器對網站的存取權限設定為「點擊時」（on click）。這意味著擴充功能不會在使用者造訪網站時自動執行，而是需要使用者主動點擊擴充功能圖示後才能運作，從而限制了惡意網站利用其自動填充功能的可能性。
• 提高網頁安全意識： 始終保持警覺，尤其是在點擊看似可疑的彈出視窗、廣告或不尋常的連結時。確認網址是否正確，並留意網頁的顯示是否與預期相符。如果頁面有任何不尋常的透明或重疊元素，應立即關閉該頁面。

三、開發者層面的強化策略

密碼管理器與網站開發者應從根源上解決點擊劫持問題，並提升產品的整體安全性：

• 實施 X-Frame-Options 標頭： 網站開發者應在 HTTP 響應頭中加入 X-Frame-Options: DENY 或 SAMEORIGIN。DENY 會完全阻止網頁被嵌入到任何 iframe 中，而 SAMEORIGIN 則允許同源網站的嵌入。這能有效防止惡意網站將目標頁面作為 iframe 進行劫持。
• 引入內容安全策略（CSP）： 開發者應部署強化的 CSP，特別是 frame-ancestors 指令，來明確控制哪些網站可以嵌入他們的內容。這能提供比 X-Frame-Options 更細緻的粒度控制，從根本上杜絕不必要的框架嵌入。
• 優化自動填充機制： 密碼管理器開發者應重新設計其自動填充邏輯。一個更安全的做法是，自動填充功能應該嚴格地與頂層視窗（top-level window）的域名相關聯，而不是簡單地與 iframe 的域名匹配。此外，可以增加額外的使用者互動確認環節，例如在自動填充前彈出一個可見的確認對話框，以防止無感知洩漏。
• 實施框架破壞腳本（Frame-Busting Scripts）： 在某些情況下，開發者可以在網頁的 JavaScript 中加入框架破壞腳本。雖然現代瀏覽器安全措施已使其效力減弱，但在某些特定場景下仍可作為額外的防護層。

結論

• https://www.securityweek.com/password-managers-vulnerable-to-data-theft-via-clickjacking/
• https://thehackernews.com/2025/08/dom-based-extension-clickjacking.html
• https://marektoth.com/blog/dom-based-extension-clickjacking/