点击劫持(clickjacking): 点击劫持实际上是一种视觉欺骗,攻击者将一个透明的iframe覆盖在一个网页上,通过调整iframe的位置,诱使用户在页面上进行操作,在不知道情的情况下用户恰好点击在iframe上的功能按钮上。 防御 使用http头中的x-frame-option,她有三个可能的值: DENY: 拒绝浏览器加载任何的iframeSOMEORIGIN: ifame页面的地址只能是同源域名下的地址ALLOW-FROM: origin 可自定义允许frame加载页面地址