1.前言

点击劫持就是一种视觉上的欺骗手段，攻击者使用一个透明的、不可见的iframe，覆盖在一个网页上，然后诱使用户在该网页上进行操作，此时用户在不知情的情况下点击了透明的iframe页面。通过调整iframe页面的位置，可以诱使用户恰好点击在iframe页面的一些功能性按钮上，攻击者常常配合社工手段完成攻击。（一般能被劫持就是网站缺少X-FRAME-OPTIONS）

点击劫持一般在渗透测试中比较常见

2.过程

如何测试，有两种方法，今天就讲一种最简单常用的方式（burpsuite模块）

在这里就用测过的一个站点做例子吧

1）这是一个正常的站点

2）我们需要打开burpsuite，选择burp模块，再去选择一个点击劫持模块

3)复制payload，然后打开刚才的站点，选择开发者模式，把复制的payload粘贴到console模块

3.修复建议

X-FRAME-OPTIONS是目前最可靠的方法。X-FRAME-OPTIONS是微软提出的一个http头，专门用来防御利用iframe嵌套的点击劫持攻击。并且在IE8、Firefox3.6、Chrome4以上的版本均能很好的支持。
这个头有三个值：
DENY：拒绝任何域加载
SAMEORIGIN：允许同源域下加载
ALLOW-FROM：可以定义允许frame加载的页面地址