點擊劫持攻擊

駭客使用它來欺騙使用者在不知不覺中點擊網頁上的某些東西，而實際上他們可能正在點擊一個隱藏的、完全不同的東西。

駭客通常使用一個透明的iframe覆蓋在一個看似合法的網頁元素上，如一個按鈕或連結。當使用者試圖與那個元素互動時，他們實際上正在點擊iframe中的隱藏內容。
透過點擊劫持，駭客可能嘗試誘使使用者在社交媒體上分享不良內容、啟動麥克風或攝像頭、更改帳號設置或進行其他有害操作。

Lab time

框架破壞腳本(Frame Busting Scripts)

框架破壞腳本 (Frame Busting Scripts) 是一種網頁開發技術，用於防止網頁被其他網頁透過 iframe 嵌入。該技術的主要目的是為了防止所謂的 點擊劫持攻擊 。

針對框架破壞者的有效攻擊者解決方法是使用HTML5 iframe sandbox 屬性。當使用 allow-forms 或 allow-scripts 值設置它並省略 allow-top-navigation 值時，框架破壞腳本可以被中和，因為 iframe 無法檢查它是否是最上面的那個：

<iframe id="victim_website" src="https://victim-website.com" sandbox="allow-forms"></iframe>

Lab time