Du meinst *absichtlich*? Das wäre kein “Hijacking”.

Ich dachte da eher an eingeschleustes JavaScript oder Browserexploits.

Du wirfst verschiedene Angriffszenarien durcheinander. Cross-Site-Scripting (XSS), das besagte CSRF und Session-Hijacking sind verschiedene Dinge. XSS ist eingeschleustes JavaScript und damit verbunden eingeschleustes HTML und CSS. CSRF ist das Senden von scheinbar autorisierten Requests von fremden Websites aus. Session-Hijacking ist z.B. wenn ein Angreifer in einem ungesicherten WLAN die Cookies von anderen mitliest, etwa mit Firesheep.

XSS und CSRF sind weitaus häufiger und einfacher als Session-Hijacking über derartige Man-in-the-middle-Attacks. Und gegen Browserexploits kannst du auf deiner Website wenig tun. Wenn der Angreifer den Browser unter Kontrolle hat, kann alles, was den Server erreicht, gefälscht sein, und der Nutzer kann durch den Angreifer getäuscht worden sein.

Mathias