点击劫持  click jacking
通过iframe加载被攻击网站到黑客自己维护的网站
通过z-index叠加和position定位，将2个网站的信息堆叠在一个立体投影面上，通过opacity设置透明度。
诱导普通用户点击按钮。

防御：
js防御：
if (top.location != self.location) {top.location=self.location;} 
最有效防御： 
X-FRAME-OPTIONS是微软提出的一个http头，专门用来防御利用iframe嵌套的点击劫持攻击

php中设置：header("X-FRAME-OPTIONS:DENY");
 DENY：拒绝任何域加载
 SAMEORIGIN ：允许同源域下加载
ALLOW-FROM：可以定义允许frame加载的页面地址