Кликджекинг (Clickjacking)

Кликджекинг встраивает чувствительную страницу (настройки аккаунта, OAuth-согласие, подтверждение платежа) в iframe на вредоносном сайте и визуально маскирует её — прозрачностью, точными CSS-наложениями, позиционированием поверх кнопок-обманок. Пользователь думает, что взаимодействует с видимой страницей, но клики, касания или перетаскивания фактически идут в скрытый iframe и выполняют действия в его аутентифицированной сессии. Существуют варианты cursorjacking, drag-and-drop и double-clickjacking. Защита реализуется на целевой странице: заголовок X-Frame-Options или, лучше, Content-Security-Policy с директивой frame-ancestors, обязательное явное подтверждение чувствительных действий и cookie SameSite.