在點選劫持攻擊中，目標網站被嵌入到攻擊網站上的 IFRAME 中，並且要麼保持在後臺，但主要被其他元素覆蓋，要麼變為透明並保持在前景中。然後，使用者被誘使點選某個位置（例如，當使用透明方法將按鈕放置在背景中時）。點選的不是可見的按鈕，而是不可見的視窗。IFRAME 和按鈕的位置選擇使點選觸發攻擊者想要的動作（例如更改設定）。由於使用者已登入目標網站，因此點選可以觸發攻擊者無法訪問的操作。使用這種方法生成了多個 Facebook 垃圾郵件浪潮。

• 透過包含 HTTP 響應標頭“X-Frame-Options: deny”來阻止當前瀏覽器中的應用程式（i）框架
• 透過包含一個 JavaScript 框架斷路器來阻止過時瀏覽器中的（i）框架，該斷路器會檢查（i）框架並在檢測到框架時拒絕顯示頁面
• 對於具有高度安全要求的應用程式，您希望使用者使用帶有停用 JavaScript 的過時瀏覽器，請考慮要求使用舊瀏覽器的使用者啟用 JavaScript

需要 X-Frame-Options 標頭，因為 JavaScript 框架斷路器在某些允許不可檢測框架的新瀏覽器中可能無效。但是，較舊的、仍在使用的瀏覽器會忽略該標頭，因此需要使用基於經典 JavaScript 的框架斷路器提供額外的保護。由於這些（與標頭方法相比）在停用 JavaScript 時不起作用，因此可能需要採取其他措施。