点击劫持

点击劫持是指通过劫持用户的点击，完成用户并不知情的操作。原理是通过iframe将目标操作页面放到劫持页面中，但是可见度设置为0，将背景图片展示给用户，即用户并不能看到该iframe，用户仅可看到并以为操作的是iframe的背景图片。

点击劫持的特点：
    1.用户亲手操作
    2.用户并不知情
    3.可以获取用户资金或其他敏感信息

点击劫持防御：
    1.通过js设置禁止内嵌，页面直接展示和通过iframe展示时的top是不同的，判断top和window对象是否相等来判断页面是否由其他页面内嵌调用。但是这种方式劫持页面可以通过设置iframe的sandbox属性来禁用脚本，使禁止内嵌的脚本失效，继续进行点击劫持。
    2.设置头信息X-FRAME-OPTIONS属性禁止内嵌，DENY：禁止内嵌，SAMEORIGIN：允许同域下内嵌，ALLOW-FROM：指定可内嵌网址。