该标签下有 1 篇文章
点击劫持是用透明的 iframe 把自己的站点叠加到另一个站点上,诱导用户执行非本意操作(转账、修改设置、同意授权)的攻击。核心防御是「不让自己的站点被嵌入到他站的框架里」=CSP frame-ancestors 与 X-Frame-Options。