点击劫持 ​

点击劫持 (Clickjacking) 是一种欺骗攻击，攻击者在可信赖的页面上使用透明或半透明的覆盖层来欺骗用户点击他们所看到的以外的内容，例如按钮或链接。当用户点击覆盖层时，实际上点击的是攻击者精心设计的恶意内容，例如钓鱼网站或下载恶意软件的链接。（我的理解是，还可以利用各种事件执行攻击脚本）。

攻击方式 ​

• 利用透明层: 攻击者在可信赖的页面上使用透明层覆盖真正的链接或按钮。当用户点击页面时，实际上点击的是透明层中的恶意内容。
• 利用iframe: 攻击者在可信赖的页面中嵌入一个iframe，iframe的内容是一个精心设计的恶意页面。当用户点击页面时，实际上点击的是iframe中的恶意内容。
• 利用CSS定位: 攻击者利用CSS定位技术将恶意内容定位在可信赖的页面之上。当用户点击页面时，实际上点击的是恶意内容。

防范 ​

• 使用 X-Frame-Options 头: 在服务器端设置 X-Frame-Options 头，禁止其他网站嵌入本网站的页面。
• 使用 Content Security Policy (CSP): CSP 是一种通过配置浏览器安全机制来限制网页中可执行内容的安全技术。
• 避免使用透明层: 尽量避免在页面中使用透明层，如果必须使用，则需要仔细测试并确保透明层不会被攻击者利用。