無害なサイトを表示しておいて、表示していない悪意のあるリンクをクリックさせる
- HTTPレスポンスヘッダにX−Frame-Optionsを設定して、frameタグとiframeタグの表示を無効にする
事実上現在のページに他の HTML ページを埋め込むことができます
つまり、frameやiframeで有害なサイトを表示されることができるため、悪意のあるリンクをクリックさせることが可能になる?
でも、上と同様のことがJavaScriptのDOM生成とかで可能なのでは?
https://www.ipa.go.jp/files/000026479.pdf
iframe 要素 - HTML | MDN
https://developer.mozilla.org/ja/docs/Web/HTML/Element/iframe