点击劫持（ClickJacking）

点击劫持是一种视觉上的欺骗手段。攻击都使用一个透明的，不可见的iframe覆盖网站 上，然后诱使用户进行操作。

可以是iframe, flash,图片等常用的元素。

拖拽劫持与数据窃取（以前没有听说过）

目前很多的浏览器都支持Drag&Drop的API。此API是没有安全限制的。用户拖拽时，就带走了数据。

触屏劫持

智能手机的“触屏劫持”，与PC类似。

如何防御？

iframe busting

禁止iframe的被嵌套

if( top.locaiton !=location){top.location=self.location
}

注：这是可以被绕过的！！！

X-Frame-Options

它一个HTTP头，可以说是为了解决clickjacking而生的。目前支持的浏览器如下：IE8+和其它大部分的浏览器。

它有三个可选的值：

• DENY:浏览器会拒绝当前页面加载任何frame页面
• SAMEORIGIN:只能加载同源的页面
• ALLOW-FROM origin:则可以定义允许的iframe.

小结

clickjacking,相对于xss与csrf来说，因为需要诱使用户与页面产生交互，因些成本会更高，所以比较少见。但是可能被用作钓鱼、欺诈和广告作弊等方向，不可不防啊！！！