点击劫持（Clickjacking）是一种视觉欺骗技术，攻击者通过在透明的框架上叠加一个看似无害的界面，诱使用户在不知情的情况下点击按钮或链接，从而执行攻击者意图的操作。为了防御点击劫持攻击，在结合Spring Boot和Nginx的项目中，你可以采取以下措施：

1. 在Spring Boot应用层设置安全头

Spring Security提供了一个非常方便的方式来设置响应头，防止网站被嵌入到iframe中。

配置Spring Security的HTTP头

你可以通过Spring Security配置来添加X-Frame-Options响应头，这个头可以用来指示浏览器不允许将页面加载到iframe或frame中。

import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            // 其他安全配置...
            .headers()
                .frameOptions()
                .deny();  // 禁止被嵌入任何iframe
    }
}

这里.deny()意味着网站不能被任何页面嵌入。如果你需要允许特定域名嵌入，可以使用.sameOrigin()来允许同源的页面嵌入。

2. 在Nginx服务器层设置安全头

除了在应用层设置安全头以外，你还可以在Nginx配置中设置响应头，增强安全性。这是一个较为彻底的防护措施，因为即使后端设置失效或被绕过，Nginx层面的设置仍然有效。

修改Nginx配置

在Nginx的配置文件中（通常位于/etc/nginx/nginx.conf或者/etc/nginx/sites-available/目录下的网站配置文件），添加如下配置来设置X-Frame-Options头：

server {
    listen 80;
    server_name example.com;

    location / {
        proxy_pass http://localhost:8080;  # 假设Spring Boot应用运行在8080端口
        add_header X-Frame-Options "DENY";  # 防止点击劫持
        add_header X-Content-Type-Options nosniff;  # 防止MIME类型混淆攻击
    }
}

3. 使用内容安全策略 (CSP)

内容安全策略（CSP）是一个额外的安全层，它提供了比X-Frame-Options更丰富的配置选项。CSP可以设置为禁止加载所有iframe，或者指定允许加载的来源。

配置CSP

在Spring Security或Nginx配置中设置CSP头：

add_header Content-Security-Policy "frame-ancestors 'self' https://trusteddomain.com;";

这里frame-ancestors 'self' https://trusteddomain.com;表示只允许来自同源和trusteddomain.com的框架嵌入。

总结

通过这些措施，你可以在Spring Boot和Nginx层面有效防御点击劫持攻击。综合使用这些技术能够确保你的应用不仅安全，还能适应各种不同的部署环境和安全需求。这样的配置不仅增加了安全性，也提高了应用的健壮性。