点击劫持防御介绍此备忘单的主要目的是为开发者提供点击劫持/UI纠正攻击的防御指导。抵御“点击劫持”攻击的最普遍的方法是通过各种形式的“嵌入阻断”功能，防止攻击者通过iframe将你的站点嵌入他们的页面。本备忘单将讨论实现嵌入阻断的两种方式：第一种是X-Frame-Options头信息（可能有些浏览器不支持）；第二种方式是使用javascript编写嵌入阻断代码。使用X-Frame-Options 响应头信息来防御X-Frame-Options HTTP响应头能用来向浏览器指明是否允许渲染在<frame>或<frame>标签内的页面。网站可以用它来确保网站内容不被嵌入到其他站点，从而避免遭受点击劫持攻击。X-Frame-Options响应头类型X-Frame-Options头信息有三种可用