點選劫持,clickjacking,也被稱為UI-覆蓋攻擊。這個詞首次出現在2008年，是由網際網路安全專家羅伯特·漢森和耶利米·格勞斯曼首創的。它是通過覆蓋不可見的框架誤導受害者點選。雖然受害者點選的是他所看到的網頁，但其實他所點選的是被黑客精心構建的另一個置於原網頁上面的透明頁面。這種攻擊利用了HTML中 <iframe> 標籤的透明屬性。

特徵
1、點選劫持是一種惡意攻擊技術，用於跟蹤網路使用者，獲取其私密資訊或者通過讓使用者點選看似正常的網頁來遠端控制其電腦。很多瀏覽器和操作平臺都有這樣的漏洞。
2、點選劫持技術可以用嵌入程式碼或者文字的形式出現，在使用者毫不知情的情況下完成攻擊，比如點選一個表面顯示是“播放”某個視訊的按鈕，而實際上完成的操作卻是將使用者的社交網站個人資訊改為“公開”狀態。
3、點選劫持這個詞首次出現在2008年，是由網際網路安全專家羅伯特·漢森和耶利米·格勞斯曼首創的，這個詞其實是“點選”（click）和“劫持”（hijacking）兩個詞組合而成的。

示例
在這個test.html中有一個button，如果iframe完全透明時，那麼使用者看到的是：

使用者看到的按鈕
當iframe半透明時，可以看到，在button上面其實覆蓋了另一個控制元件：

實際的頁面，按鈕上隱藏了一個iframe視窗
覆蓋的控制元件其實是一個實現開啟使用者攝像頭的按鈕：當用戶試圖點選test.html裡的button時，實際上卻會點選到頁面中開啟攝像頭的按鈕。這樣，就完成了一次點選劫持的攻擊。

歡迎關注本人公眾號趣智慧