Question

界面操作劫持实际上突破了CSRF的防御策略，这是一种社工色彩很强的跨域操作，而这种跨域正好是浏览器自身的特性。它带来的危害可以很大，比如，删除与篡改数据、偷取隐私甚至爆发蠕虫（可以在第9章“Web蠕虫”中查看详情）。

我们在实际的攻击测试中发现，大家对这方面的意识是很薄弱的，即使没有很好的美工功底，其成功率还是比较高的，但是在真实的攻击案例中，这类攻击出现得非常少，将来也许会逐渐多起来（因为无论是Web厂商还是用户，其防御意识都很薄弱），界面操作劫持会不断地进化。