主要观点：几年前写过关于用户手势的解释，手势是弱原生概念，近期有安全研究人员解释了一种攻击，即用户被诱使按住某个键，该手势被视为接受弹出窗口和激活目标网站按钮，作者称其为跨窗口伪造攻击（类似点击劫持攻击），这种攻击更可靠，其核心依赖内置网页平台行为，即导航到含片段的 URL 时浏览器会自动滚动并设置焦点到匹配片段值的元素，网页可通过多种方式防御，如不给关键按钮添加 id 属性、使用frame-ancestorsCSP 防止框架等，同时攻击者还会利用浏览器 UI 进行攻击，浏览器团队已采取多种防御措施。
关键信息：

• 介绍用户手势及相关概念。
• 详细阐述跨窗口伪造攻击的原理和过程。
• 说明网页防御的多种方式及相关文档政策。
• 提及浏览器 UI 受到的攻击及防御措施。
  重要细节：
• 提到早期浏览器针对点击劫持的防御措施及跨窗口点击劫持未被完全缓解。
• 给出不同情况下页面加载的对比示例及浏览器支持情况。
• 列举了多个针对浏览器 UI 的攻击及防御的相关 bug 链接。