Наложение невидимого iframe с кнопкой поверх страницы; пользователь кликает по "чужой" кнопке. Защита: X-Frame-Options (DENY или SAMEORIGIN); CSP frame-ancestors.