刚从青海回来，看到了一些Clickjacking的文章和demo，如果demo正确的话。

Clickjacking跟XSIO原理差不多，不过这个是弄个iframe设置为透明，然后用style控制别的元素的位置（z-index），比如伪造一个button。

这样当伪造的button漂浮在透明的iframe上时候，让人点击button，实际上就是点击了iframe里的那个链接。

所以当iframe指向某个网站时候，就可以欺骗用户去点击该网站里链接，所以anti-CSRF常常使用的token也会变得无效，因为这是用户自己的行为。

所以从另外一个角度来说，XSIO也是一种clickjacking，图片同样可以设置为透明。不过XSIO所无法达到的效果就是不能得到anti-CSRF的token。

在使用clickjacking的时候要记住IE下iframe是拦截本地cookie的，所以需要使用session cookie来达到CSRF的目的。