1、概念

iframe安全問題可稱作界面劫持，像點擊劫持、拖放劫持、觸屏劫持。就是我們的點擊，拖放，觸屏操作被劫持了，而去操作了其它的透明隱藏的界面。
**原理是利用透明層iframe,使用了CSS中的opacity或z-index等屬性，來到達透明和位于其它界面的上方，然后使用iframe來嵌入劫持頁面。**到達了用戶操作的不是它看到的界面，不是他以為的那個界面，而是那個透明的位于上層的界面。
代碼：
黑客可能會嘗試在一個隱藏的iframe中嵌入你的頁面，并誘使用戶在該iframe上進行操作。
html

	<body style="height: 100%; margin: 0;"><iframe width="100%" height="100%" frameborder="0" src="https://www.taobao.com/"></iframe><div id="box">黑客網(wǎng)站</div></body>

css

			#box {width: 100%;height: 100%;position: fixed;left: 0;top: 0;background: transparent;opacity: 0}

2、界面劫持的防范

（1）前端防護
將下面這段代碼放到網(wǎng)站頁面的body標(biāo)簽前

主要用于檢查當(dāng)前頁面是否在一個iframe中。如果是，它會嘗試將頂級窗口（top）的URL設(shè)置為當(dāng)前窗口（self）的URL，從而嘗試從iframe中“跳出”到主頁面。這樣別人在通過iframe框架引用你的網(wǎng)站網(wǎng)頁時，瀏覽器會自動跳轉(zhuǎn)到你的網(wǎng)站所引用的頁面上。這通常也是為了防止點擊劫持攻擊。

		<script>if(top.location!=self.location){top.location=self.location;}</script>

（2）服務(wù)器防護
使用X-Frame-Options防止網(wǎng)頁被iframe，X-FRAME-OPTIONS是微軟提出的一個http頭，專門用來防御利用iframe嵌套的點擊劫持攻擊

DENY   //拒絕任何域加載（不允許任何頁面通過iframe嵌入當(dāng)前頁面）
SAMEORIGIN   // 允許同源域下加載（只有同源的頁面才能通過iframe嵌入）
ALLOW-FROM   // 可以定義允許iframe加載的頁面地址