点击劫持

点击劫持原理：

将目标网站作为一个iframe（透明度为0），嵌入到目标网站。用户点击时就会操作到iframe

防止点击劫持

• javascript禁止内嵌(不靠谱)

  if (top != window) {
    top.location = window.location;
  }
  

• sandbox：iframe中的一个属性，限制iframe的行为
• X-FRAME-OPTIONS禁止内嵌（靠谱）：请求头中设置，值有：DENY（不允许网站内嵌），

辅助阅读