<div 點擊劫持（Clickjacking）是一種網絡攻擊技術，攻擊者通過欺騙用戶點擊一個看似安全的按鈕或鏈接，實際上觸發了隱藏在頁面上不可見的惡意代碼，從而盜取用戶的個人信息或執行其他惡意操作。點擊劫持可以利用現代網頁技術，如CSS和iframe，來轉移用戶的點擊操作，使用戶認為他們點擊的是實際上被隱藏的頁面元素，而不是他們意圖授權的內容。接下來將通過幾個代碼案例詳細解釋點擊劫持的工作原理和危害。

案例一：

假設有一個簡單的按鈕代碼如下：

<button>點擊我領取優惠券</button>

然而，攻擊者通過以下代碼隱藏一個iframe，并且通過CSS設置iframe的透明度為0：

<style>
iframe {
position: absolute;
top: 0;
left: 0;
opacity: 0;
z-index: -9999;
}
</style>
<br>
<iframe src="https://malicious-website.com"></iframe>

當用戶點擊按鈕時，實際上點擊的是頁面上的iframe，而不是按鈕。由于iframe是透明的，用戶并不知道自己實際上點擊了一個惡意的網站。攻擊者可以在該網站上偽裝成合法的頁面，讓用戶輸入敏感信息，從而進行釣魚行為。

案例二：

攻擊者還可以利用iframe的嵌套特性來進一步提高點擊劫持的效果。

考慮以下代碼片段，一個含有用戶名和密碼輸入框的登錄頁面：

<form action="https://legitimate-website.com/login" method="POST">
<input type="text" name="username" placeholder="用戶名">
<input type="password" name="password" placeholder="密碼">
<button type="submit">登錄</button>
</form>

攻擊者通過以下代碼將該登錄頁面嵌套到他們自己的惡意網站中，并使用CSS隱藏其可見性：

<style>
iframe {
position: absolute;
top: 0;
left: 0;
opacity: 0;
z-index: -9999;
}
</style>
<br>
<iframe src="https://legitimate-website.com/login" name="iframe-login"></iframe>

然后，攻擊者在惡意網站上放置一個覆蓋整個頁面的透明按鈕，并將按鈕的目標設置為嵌套的登錄頁面的提交按鈕：

<button style="opacity:0"><a href="javascript:void();" onclick="document.forms['iframe-login'].submit()">點擊我登錄</a></button>

用戶點擊透明按鈕時，實際上點擊的是嵌套的登錄頁面的提交按鈕，并提交了登錄表單。由于該登錄頁面嵌套在攻擊者的惡意網站中，攻擊者可以竊取用戶的登錄憑據。

點擊劫持的危害性因此顯而易見。攻擊者可以利用點擊劫持技術進行各種惡意活動，例如竊取用戶的個人信息、執行未經授權的操作、傳播惡意軟件等。為了防止點擊劫持，開發人員和網站管理員可以采取以下措施：

<ul> <li>使用X-Frame-Options響應頭來阻止您網站的嵌套，確保網站只能在預期的上下文中顯示。</li> <li>使用Content Security Policy（CSP）來限制網站的資源加載，從而減少攻擊者注入惡意代碼的機會。</li> <li>注意檢查和防范網頁中的潛在漏洞，如不合理的跳轉鏈接和惡意代碼注入。</li> <li>教育用戶關于點擊劫持和其他常見的網絡攻擊形式，提高用戶的安全意識。</li> </ul>

總之，div點擊劫持是一種隱蔽的網絡攻擊技術，攻擊者通過欺騙用戶點擊一個頁面上的隱藏元素，來進行各種惡意操作。為了保護網站和用戶的安全，開發人員和網站管理員需要采取相應措施防御點擊劫持，并提高用戶的安全意識。