随着Web2.0技术逐渐成熟,很多社交类网站应运而生。这些网站利用AJAX和j Query等技术的实时、交互等特性,带给用户更快速、便捷的网页浏览体验,但同时这些技术也会被网站攻击者加以利用。点击劫持技术是其中一种新型的但危害性很强的攻击技术,攻击者使用该技术劫持用户浏览器,迫使用户在毫不知情的情况下执行其预设的操作,从而实现盗取客户信息等目的,给网络安全带来很大的威胁。本文对点击劫持技术进行深入研究,详细分析点击劫持漏洞的利用技术,总结点击劫持漏洞的检测和防御技术,主要工作包含以下几个方面：1.完善了点击拖拽测试功能。针对点击劫持工具在点击和拖拽测试方面的不足,利用网页解析技术和拖拽技术,添加了点击测试模块和拖拽测试模块。2.设计实现点击劫持漏洞检测功能。针对点击劫持工具在漏洞检测方面的不足,在分析研究Frame Busting代码防御技术和X-FRAME-OPTIONS防御机制的基础上,添加了防御检测模块和数据保存模块。3.设计实现基于认证码的点击劫持漏洞防御方法。分析认证码技术的特点,利用按钮随机化技术实现服务器端防御点击劫持漏洞的功能。4.利用改进的点击劫持工具对国内外重要的网站进行安全性测试,分析网站存在的安全性问题。测试结果显示出改进后工具很强的适用性和检测的有效性。