点击劫持（X-Frame-Options未设置）

漏洞描述

点击劫持是一种视觉上的欺骗手段，攻击者使用一个透明的、不可见的iframe，覆盖在一个网页上，然后诱使用户在该网页上进行操作，此时用户在不知情的情况下点击了透明的iframe页面。通过调整iframe页面的位置，可以诱使用户恰好点击在iframe页面的一些功能性按钮上，攻击者常常配合社工手段完成攻击。如果Web应用服务器未设置X-Frame-Options，程序页面可能被嵌入到其他网页中，被恶意用户利用可能发起钓鱼攻击或欺骗其他用户。点击劫持是一种视觉上的欺骗