其實 淺談IFrame式Clickjacking攻擊與防護 這篇文章就寫得很好了，他主要是來防禦別人把你的網站內砍到他家網站，然後騙你點下去，然後就可以偷偷的開放權限、身分確認等等的，所以大的網站基本上都會防這個(如google fb之類 難怪以前有想把google設定到iframe裡面去就會一片空白，當然有其他解決方式就是)

下面這個動畫就可以解釋這個的問題

解決方法就是在httpd.conf裡面多加一條

Header always append X-Frame-Options SAMEORIGIN

裡面SAMEORIGIN你可以替換掉，不過基本上應該都是會想選這個

• DENY表示文件無論如何都不能被嵌入到 frame 中，即使是自家網站也不行。
• SAMEORIGIN唯有當符合同源政策下，才能被嵌入到 frame 中。
• ALLOW-FROM uri唯有列表許可的 URI 才能嵌入到 frame 中。

重開apache後可以到 X-Frame-Options Header Test 這裡做測試