teddy пишет:Обычно когда говорят о clickjacking, в качестве примеров обычно выступают просто click-и по ссылочкам, кнопочкам, а-ля лайки.
Ну так у вас клик по замазанной кнопке сабмита. Как раз вполне себе clickjacking.
teddy пишет:Хочу сказать, установленный в качестве защиты от CSRF токен в форме, не всегда может защитить. Надеюсь вы понимаете о чем я. Если кратко - то форма есть, токен есть, и дыра есть.
Токен не защищает от clickjacking. Не защищает от нарушений same origin policy. У него есть вполне определенные задачи, которые он выполняет - защищает именно от csrf. Ну в принципе можно говорить, что "токен + система ограничивающих политик в браузере = защита от csrf". Но это будет формализм, ибо эксплуатация уязвимостей бразуера - по сути своей атака другого вида, хоть и результатом может являться csrf. Как-то так.
По-этому, если вы спрашиваете, как защититься от clickjacking - то x-frame. Если у вас есть подозрение, что много ваших клиентов пользуются устаревшим ПО - нужно уже смотреть на него. Может банальное top != window сработает даже. Или запрет серверу работать с определенным набором user-agent.
Если спрашиваем, как защититься от csrf - то токен.
А те, кто будет действительно погружаться во все эти вопросы - ну разберутся как-то уже в нюансах.