在点击劫持攻击中，目标网站被嵌入到攻击网站上的 IFRAME 中，并且要么保持在后台，但主要被其他元素覆盖，要么变为透明并保持在前景中。然后，用户被诱使点击某个位置（例如，当使用透明方法将按钮放置在背景中时）。点击的不是可见的按钮，而是不可见的窗口。IFRAME 和按钮的位置选择使点击触发攻击者想要的动作（例如更改设置）。由于用户已登录目标网站，因此点击可以触发攻击者无法访问的操作。使用这种方法生成了多个 Facebook 垃圾邮件浪潮。

• 通过包含 HTTP 响应标头“X-Frame-Options: deny”来阻止当前浏览器中的应用程序（i）框架
• 通过包含一个 JavaScript 框架断路器来阻止过时浏览器中的（i）框架，该断路器会检查（i）框架并在检测到框架时拒绝显示页面
• 对于具有高度安全要求的应用程序，您希望用户使用带有禁用 JavaScript 的过时浏览器，请考虑要求使用旧浏览器的用户启用 JavaScript

需要 X-Frame-Options 标头，因为 JavaScript 框架断路器在某些允许不可检测框架的新浏览器中可能无效。但是，较旧的、仍在使用的浏览器会忽略该标头，因此需要使用基于经典 JavaScript 的框架断路器提供额外的保护。由于这些（与标头方法相比）在禁用 JavaScript 时不起作用，因此可能需要采取其他措施。