目标服务器返回的响应里没有携带 X-Frame-Options 头。
    攻击者可以使用一个透明的、不可见的 iframe ,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击透明的 iframe 页面。通过调整 iframe 页面的元素位置,可以让用户恰好点击 iframe 页面上的一些恶意性功能按钮,最终导致被劫持。
    它有三种选项:

    • DENY :表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。
    • SAMEORIGIN :表示该页面可以在相同域名页面的frame中展示。
    • ALLOW-FROM uri :表示该页面可以在指定来源的frame中展示。

    Apache Http Server 里面需要在 conf/httpd.conf 里面配置以下条目:

    1. Header always append X-Frame-Options SAMEORIGIN