Clickjacking
Обман пользователя: целевой сайт встраивается в прозрачный iframe, и клики перехватываются.
Сигнатура
Clickjacking (UI redressing)Clickjacking — атака, при которой настоящий сайт загружается в невидимый iframe поверх приманки. Пользователь думает, что нажимает безобидную кнопку, а на деле подтверждает действие на целевом сайте.
Как защититься: запретите встраивание сайта в фреймы заголовком Content-Security-Policy: frame-ancestors 'none' (или 'self'), а для старых браузеров — X-Frame-Options: DENY.
# Заголовки, запрещающие встраивание в чужие фреймы
response.headers["Content-Security-Policy"] = "frame-ancestors 'self'"
response.headers["X-Frame-Options"] = "DENY"