クリックジャッキング

例えば、ショッピングサイトの場合

正規サイトの内容をiframeで偽懸賞サイトの上にかぶせる。
このとき、偽懸賞サイトのの応募と正規サイトの購入ボタンの位置を合わせる事で、
もし正規サイトにログインしているユーザがボタンを押したら
意図せず商品を購入させられてしまう。

また、iframeを透明にすることでユーザに気付かせないようにする。

 

対策は、正規サイトがX-Frame-OptionsをSAMEORIGINまたはDENYにする。
提携のサイトであるexample.jpの埋め込みだけ許可するときは、ALLOW-FROM http://example.jpとする。