得到的效果如下图：

请注意我们为了示例效果，特意设置了透明度仅仅为 {opacity:0.4;} ，保持页面上能隐约看到 163 邮箱的内容。但如果CSS代码设置为 {opacity:0;} ，163 邮箱的内容就会消弭于眼前，只留下这张促销图片。但访问者点到相应位置时，依然会触发对163邮箱的请求。这个就是点击劫持的原理。

早期 WEB 开发者应对这个问题的处理，是用 JavaScript 实现的，一般是判断当前 window 对象和 parent 对象是否一致，如果不一致，就执行“破框”跳转。但这个方式并不可靠！因为各种原因，客户端有可能禁止了 JavaScript 执行或代码被绕过，这样“破框”代码就失效了。在人们日益认识到这种攻击方式的危害性后，为统一解决这个问题，制定互联网规范的机构出手了，解决方案就是：

RFC7034

「 HTTP Header Field X-Frame-Options 」

https://tools.ietf.org/html/rfc7034

即引入了一个新的 HTTP 响应头。现在主流常用浏览器已全部支持这一响应头。具有这个响应头的资源，可以拒绝自己被非法站点的以下标签引用：

iFrame 标签

Frame 标签

Object 标签

Applet 标签