Le Clickjacking (détournement de clic) consiste à piéger un utilisateur pour qu'il clique sur quelque chose de différent de ce qu'il perçoit.
L'attaquant superpose deux couches :
En rendant la couche du dessus (le site victime) TRANSPARENTE (opacity: 0), l'utilisateur pense cliquer sur le leurre, mais clique en réalité sur le site victime (ex: "Supprimer mon compte" ou "Virement bancaire").
Pour se protéger, un site doit dire au navigateur : "Interdit de m'afficher dans une iframe !".
Cela se fait via l'en-tête HTTP :
Si cet en-tête est présent, le navigateur refusera de charger la page dans l'iframe de l'attaquant, rendant l'attaque impossible.