点击劫持是一种诱骗用户点击不可见或伪装成其他元素的网页元素的攻击。这可能会导致用户无意中下载恶意软件、访问恶意网页、提供凭据或敏感信息、转账或在线购买产品。

通常，点击劫持是通过在用户看到的页面顶部的iframe内显示一个不可见的页面或HTML元素来执行的。用户认为他们点击的是可见页面，但实际上他们点击的是移调到其顶部的附加页面中的不可见元素。

不可见页面可能是恶意页面，也可能是用户不打算访问的合法页面——例如，用户银行网站上授权转账的页面。

点击劫持攻击有多种变体，例如：

此示例说明，在点击劫持攻击中，无法将恶意操作（在本例中是在银行网站上）追溯到攻击者，因为用户是在合法登录自己的帐户的情况下执行的。

防御点击劫持的一般方法有两种：

使用X-Frame-Options响应标头减轻点击劫持

X-Frame-Options响应标头作为网页HTTP响应的一部分传递，指示是否应允许浏览器在<FRAME>或<IFRAME>标记内呈现页面。

使用SAMEORIGIN选项来防御点击劫持

X-Frame-Options允许内容发布者防止他们自己的内容被攻击者在不可见的框架中使用。DENY选项是最安全的，它可以防止在框架中使用当前页面。更常见的是，使用SAMEORIGIN，因为它确实允许使用框架，但将它们限制在当前域内。

点击劫持测试——您的网站易受攻击吗？

测试您的网站是否容易受到点击劫持的基本方法是创建一个HTML页面并尝试将您网站的敏感页面包含在iframe中。在另一台Web服务器上执行测试代码很重要，因为这是点击劫持攻击中的典型行为。

使用如下代码，作为?OWASP测试指南的一部分提供：

<title>点击劫持测试页面</title>

<p>网站容易受到点击劫持！</p>

<iframesrc="http://www.yoursite.com/sensitive-page"width="500"></iframe>

在浏览器中查看HTML页面并对页面进行评估，如下所示：

还需要额外的测试来查看页面上使用了哪些反点击劫持方法，以及它们是否可以被攻击者绕过。