点击劫持属于Web浏览器的安全问题。浏览器在加载Web页面时，允许在用户不知情的情况下执行嵌入式代码或脚本。点击劫持利用了这一点，使用类似障眼法的方式，用不可见的界面元素设计危险动作、恶意触发动作，将其覆盖在看似无害的Web页面之上，达到欺骗用户触发恶意行为执行危险动作的目的。最常用的方式是利用了HTML中＜iframe＞标签的透明属性，设计一个透明的页面覆盖目标页面，并诱导用户点击目标页面中的某些按钮。此时受害者虽然点击的是他所看到的网页，但其实他所点击的是黑客精心构建的另一个置于原网页上面的透明页面。

例如攻击者通过点击劫持可以诱骗受害者为某个社交账号点赞，当用户进行点赞操作时，真正执行的可能是将用户社交账号的个人信息设置为公开、开启网络摄像头，甚至可以采集用户的隐私信息等。又如用户收到一封包含一段视频的电子邮件，但其中的播放按钮并不会真正播放视频，而是链入一购物网站。这样当用户试图播放视频时，实际是被诱骗而进入了一个购物网站。

点击劫持的防范方法包括：禁止iframe嵌套，使得覆盖在网页上的透明页面不能被加载；在页面浏览器中设置勾选禁止允许脚本，使伪装成透明页面的脚本不能被执行；设置HTTP请求头，这样当页面中被嵌入了透明页面时，会提示用户是否需要加载，从而给用户阻止恶意页面被加载执行的机会。