RSnake 和 Jeremiah Grossman 本来说因为Adobe的请求所以不去OWASP大会讲了，但是看来他们还是决定去讲一部分。从今天部分参加了OWASP的朋友的描述来看，ClickJacking大致是这么回事：

1. 表现为点击某个链接或button时，实际上是点击到别的地方去了(劫持链接)
2. 不一定需要javascript，所以noscript也挡不住，但是如果有javascript会让事情更简单
3. 攻击是基于DHTML的
4. 使用lynx浏览器的话，不会受到影响（因为这玩意太简陋了）
5. 需要攻击者一定程度上控制页面
6. 如果禁用iframe的话，可以防止跨域的clickjacking
7. 在一个flash游戏中点击的话（一般会有大量鼠标点击），效果会更好（估计adobe公司担心的这个？）

于是，有人推测是在当前窗口下创建一个隐藏的frame，我稍微想了下，觉得通过隐藏frame来做到clickjacking是有可能的，请多参阅下我的 Cross Iframe Trick：the Old New Thing 的文章，以及另外一篇利用cross iframe在本域执行js的文章 突破IE安全限制获取iframe子框架内的本地cookie

思路和出发点可能不同，但是iframe确实可以做很多事情。

今天就要出发去青海了，没时间继续研究了，有朋友感兴趣的话，请挖掘一下，要是有结果了，别忘记告诉我一下~~~~

共享万岁！