主要观点：Clickjacking 是一种存在近二十年的网络攻击，常窃取用户钱财，数字平台发展使其更易得逞，新的攻击形式如 double-clickjacking 不断出现。
关键信息：

• 2008 年首次发现，利用 iFrame 组件，通过钓鱼等手段诱骗用户访问恶意网站，窃取信息或进行转账等操作。
• 攻击技术不断演变，如经典的覆盖按钮等，还有 likejacking、cookiejacking 等，现代技术包括密码管理器攻击和浏览器无点击劫持。
• 在金融领域，会导致未经授权的金融交易、身份盗窃和运营中断等，给组织带来声誉和客户信任损失。
• 目前的预防方法主要是服务器端设置 HTTP 头，如 X-Frame-Header 和 Content Security Policy 等，客户端保护也可用，但推荐服务器端方案。
• 有 AI 驱动的检测技术，如极端学习机、卷积神经网络、用户行为分析等，但实施存在数据收集、特征提取等挑战。
  重要细节：
• 2025 年出现 double-clickjacking 攻击，绕过传统预防策略，利用用户交互和时间差。
• 预防方法中不同设置对应不同的 iFrame 限制情况。
• AI 驱动检测技术的具体原理和应用案例，如各技术在检测恶意内容方面的作用。
• 实施 AI 解决方案存在数据收集复杂、特征提取难、影响性能和成本高等挑战。
• Clickjacking 在 OWASP 漏洞列表中排名第 4，需结合 AI 检测和传统预防技术保护用户和资产。