常见的点击劫持示例

1、创建透明的iframe

攻击者需要创建一个透明的iframe，这个iframe将覆盖在目标网页上。这个iframe可以是完全透明的，也可以包含一些诱人的内容，比如一个看似无害的按钮或链接。

代码片段：可切换语言，无法单独设置文字格式

2、调整iframe的位置

攻击者需要调整iframe的位置，使其覆盖在目标网页的特定区域。这可以通过CSS样式表来实现，比如使用position: absolute;属性来定位iframe。

3、诱导用户点击

然后，攻击者需要诱使用户点击这个透明的iframe。这可以通过各种手段来实现，比如在iframe上方放置一些诱人的内容，或者通过社会工程学手段诱使用户点击。

4、收集用户操作数据

攻击者可以收集用户在不知情的情况下进行的操作数据，比如点击的位置、输入的内容等。这些数据可以用于进一步的攻击，比如网络钓鱼、窃取用户账号密码等。

点击劫持是一种浏览器端行为，其成功与否取决于浏览器功能以及是否符合现行的 Web 标准。服务器端点击劫持保护的两种机制是 X-Frame-Options 和 Content Security Policy。

X-Frame-Options是浏览器响应标头引入的，标头为网站所有者提供了对 iframe 或对象的使用的控制权，以便可以使用 deny 指令禁止在框架中包含网页。还可以使用 sameorigin 指令将框架限制为与网站相同的来源或者使用 allow-from 指令的命名网站（X-Frame-Options: allow-from https://example.com）。

Content Security Policy (CSP)是一种检测和预防机制，可缓解 XSS 和点击劫持等攻击。CSP 通常在 Web 服务器中作为返回标头实现Content-Security-Policy: policy。

script-src 'self'指令仅允许从与页面本身相同的来源加载脚本。

script-src https://example.com仅允许从特定域加载脚本

CSP 指令还可以指定 nonce（随机值），并且在加载脚本的标记中使用相同的值。如果值不匹配，则脚本将不会执行。

CSP 指令可以指定受信任脚本内容的哈希值。如果实际脚本的哈希值与指令中指定的值不匹配，则脚本将不会执行。

但是有一种情况，许多CSP策略允许图像请求，因为图像通常是无害的，不会执行任何代码。使用元素向外部服务器发出请求通常是被允许的，通常用了跟踪用户行为或加载广告，也可能被滥用如果一个页面包含一个CSRF令牌，并且该页面的CSP策略允许图像请求，那么攻击者可能会尝试通过诱导用户访问一个包含恶意图像URL的页面来泄露该CSRF令牌。恶意图像URL可能会将CSRF令牌发送到攻击者的服务器。这种情况下，需要在csp策略中限制图片来源、严格的csp策略、使用CSRF防护机制等。

img-src 'self'仅允许从与页面本身相同的来源加载图像

img-src https://images.example.com仅允许从特定域加载图像。

frame-ancestors指令用于指定哪些源可以嵌入当前页面。具体设置如下：

frame-ancestors 'self'仅允许该页面由来自同一来源的其他页面

frame-ancestors 'none'完全阻止 frame

frame-ancestors 'self' https://example.com https://*.abc.com指定多个域并使用通配符，CSP不仅会验证最外层的框架（即顶级域名），还会验证整个父帧层次结构中的每个框架。这意味着，如果一个页面嵌入在多个层次的框架中，那么所有的框架都必须符合frame-ancestors指令中指定的源。