之前没太注意点击劫持这东西，最近被科普了一下才意识到严重性...就是页面上盖个透明iframe，用户以为自己点的是按钮，实际上点的是隐藏的恶意链接。防护方法很简单，X-Frame-Options响应头设置一下就行：

X-Frame-Options: DENY

或者用Content-Security-Policy的frame-ancestors也行。现在项目都加上了，总算安心点