1、概念

iframe安全問(wèn)題可稱作界面劫持，像點(diǎn)擊劫持、拖放劫持、觸屏劫持。就是我們的點(diǎn)擊，拖放，觸屏操作被劫持了，而去操作了其它的透明隱藏的界面。
**原理是利用透明層iframe,使用了CSS中的opacity或z-index等屬性，來(lái)到達(dá)透明和位于其它界面的上方，然后使用iframe來(lái)嵌入劫持頁(yè)面。**到達(dá)了用戶操作的不是它看到的界面，不是他以為的那個(gè)界面，而是那個(gè)透明的位于上層的界面。
代碼：
黑客可能會(huì)嘗試在一個(gè)隱藏的iframe中嵌入你的頁(yè)面，并誘使用戶在該iframe上進(jìn)行操作。
html

	<body style="height: 100%; margin: 0;"><iframe width="100%" height="100%" frameborder="0" src="https://www.taobao.com/"></iframe><div id="box">黑客網(wǎng)站</div></body>

css

			#box {width: 100%;height: 100%;position: fixed;left: 0;top: 0;background: transparent;opacity: 0}

2、界面劫持的防范

（1）前端防護(hù)
將下面這段代碼放到網(wǎng)站頁(yè)面的body標(biāo)簽前

主要用于檢查當(dāng)前頁(yè)面是否在一個(gè)iframe中。如果是，它會(huì)嘗試將頂級(jí)窗口（top）的URL設(shè)置為當(dāng)前窗口（self）的URL，從而嘗試從iframe中“跳出”到主頁(yè)面。這樣別人在通過(guò)iframe框架引用你的網(wǎng)站網(wǎng)頁(yè)時(shí)，瀏覽器會(huì)自動(dòng)跳轉(zhuǎn)到你的網(wǎng)站所引用的頁(yè)面上。這通常也是為了防止點(diǎn)擊劫持攻擊。

		<script>if(top.location!=self.location){top.location=self.location;}</script>

（2）服務(wù)器防護(hù)
使用X-Frame-Options防止網(wǎng)頁(yè)被iframe，X-FRAME-OPTIONS是微軟提出的一個(gè)http頭，專門用來(lái)防御利用iframe嵌套的點(diǎn)擊劫持攻擊

DENY   //拒絕任何域加載（不允許任何頁(yè)面通過(guò)iframe嵌入當(dāng)前頁(yè)面）
SAMEORIGIN   // 允許同源域下加載（只有同源的頁(yè)面才能通過(guò)iframe嵌入）
ALLOW-FROM   // 可以定義允許iframe加載的頁(yè)面地址