Digamos que você tenha um widget JavaScript que precisa disparar uma solicitação para o seu aplicativo da Web, se e somente se o usuário quiser clicar nele. Você não deseja que esta solicitação seja vulnerável ao CSRF; portanto, escreva um iframe na página. Com base noegras de herança @origin o site pai não poderá ler o token CSRF. No entanto, e o clickjacking (ou likejacking)? Por causa do CSRF, você deve estar dentro de um iframe e lá para o opções de quadro x não pode ajudar, e o mesmo vale para frame-busters.

O atacante aplicará umSVG mask o iframe após o carregamento do widget. Essa máscara tornará o iframe invisível. Nesse ponto, o invasor pode redimensionar o iframe para o tamanho da página ou fazer com que esse iframe agora invisível siga o cursor. De qualquer maneira, sempre que o usuário clica em qualquer lugar da página, o iframe recebe o evento click e o jogo termin

Portanto, existe uma dualidade, parece que você está preso entre o CSRF e o Clickjacking. Qual a melhor solução (se houver) para esse problema?