概述 点击劫持通过隐藏/半透明 iframe 诱导用户误点。`Content-Security-Policy: frame-ancestors` 指定允许嵌入当前页面的来源,现代方案优于过时的 `X-Frame-Options`,并支持更灵活的来源匹配与子域控制。 用法与示例 ``` # 禁止任何嵌入 Content-Security-Policy: frame-ancestors 'none' # 仅允许同源与特定父站 Content-Security-Policy: frame-ancestors 'self' https://partner.example # 迁移建议:移除 X-Frame-Options,统一使用 CSP frame-ancestors ``` 验证与检测 - 使用浏览器开发者工具与报表端点(`report-to`/`report-uri`)观察被拒绝的嵌入尝试。 - 在受控测试页通过 `