Webページのコンテンツの全面に透明化した標的サイトのコンテンツを配置し、利用者が気づかないうちに標的サイト上で不正操作を実行させる攻撃手法。利用者は正常に見えるWebページ上のコンテンツをクリックしたつもりだが、実際には透明化された標的サイト上をクリックしてしまうことになる。ユーザのクリックを奪うという攻撃の特徴からクリックジャッキングと呼ばれる。

攻撃にはインラインフレーム（iframe）と呼ばれるURLを指定して要素内に別のWebページを表示できるHTMLタグが用いられる。インラインフレーム要素をCSS（Cascading Style Sheets）の設定で操作可能なまま透明にすることで、目に見えない別ページを作り出す。