1. 攻击原理
     界面劫持，分为点击劫持、拖放劫持、触屏劫持。就是我们的点击，拖放，触屏操作被劫持了，而去操作了其它的透明隐藏的界面。其原理是利用透明层+iframe,使用了css中的opacity和z-index等属性，来到达透明和位于其它界面的上方，然后使用iframe来嵌入劫持页面。到达了用户操作的不是它看到的，不是他以为的那个界面，而是那个透明的位于上层的界面。
2. 防御方法
     有重要会话的交互页面不允许使用iframe嵌入，或者值允许被同域的iframe嵌入。
（1）X-Frame-Options
     在web server端给Http响应头中加入一个X-Frame-Options头，取值有 "DENY" 和 "SAMEORIGIN"，分别表示不能使用iframe和只能使用同域的iframe。
（2） Frame Busting脚本防御
      if(top.location != self.location){
      top.location = self.location;
      }
     禁止iframe的嵌套。