Whatisclickjacking?点击劫持是一种基于界面的攻击，通过点击诱饵网站中的其他内容，诱骗用户点击隐藏网站上的可操作内容。iframe基于会话的CSRF令牌无法缓解点击劫持攻击，因为目标会话是通过从真实网站加载的内容建立的，并且所有请求都在域内发生。CSRF令牌被放入请求中，并作为

Clickjacking（点击劫持）是一种网络安全威胁，它利用用户对于页面元素的信任来欺骗他们执行未经授权的操作。攻击者通过将恶意内容覆盖在看似正常的页面上，诱使用户误点击隐藏在其它元素上的按钮或链接，从而触发意外的操作。这种攻击通常通过透明的或半透明的图层来实现，用户在不知情的情况

Alllabs|WebSecurityAcademy---所有实验室|网络安全学院(portswigger.net)目录1.BasicclickjackingwithCSRFtokenprotection2.Clickjackingwithform

Clickjacking-Wikipedia整理有2种方法解决这个问题：   1、如果站点部署在Windows服务器上，在IIS里配置如下：X-Frame-Options-HTTP|MDN(mozilla.org)<httpP

一、背景使用django3进行开发时，由于项目前端页面使用iframe框架，浏览器错误提示信息如下Refusedtodisplay'http://127.0.0.1:8000/'inaframebecauseitset'X-F