点击劫持：X-Frame-Options未配置

X-Frame-Options未配置
可以配置的参数有三个：
1.DENY：浏览器拒绝当前页面加载任何Frame页面。
2.SAMEORIGIN：页面只能加载入同源域名下的页面。
3.ALLOW-FROM uri：只能被嵌入到指定域名的框架中。
一般选第二个参数就可以了。

方式一：每个页面添加设置:

<% response.addHeader("x-frame-options","SAMEORIGIN");%>

方式二：项目代码中加过滤器设置：

public class FrameFilter implements Filter {
 
 
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
    HttpServletRequest request = (HttpServletRequest) req;  
    HttpServletResponse response = (HttpServletResponse) res;  
    //设置x-frame-options
    response.setHeader("x-frame-options", "SAMEORIGIN");  
    chain.doFilter(request, response);
    }  
 
    public void init(FilterConfig config) throws ServletException {
    }
    
    public void destroy() {
    }

}

然后web.xml中配置此过滤器，不再赘述。

方式三：tomcat中设置（如果使用的服务器是tomcat，可以在tomcat中设置，tomcat下所有应用都会生效）    

tomcat目录/conf/web.xml中的找httpHeaderSecurity配置，将其前面的注释去掉即可。
 <filter-mapping>
        <filter-name>httpHeaderSecurity</filter-name>
        <url-pattern>/*</url-pattern>
        <dispatcher>REQUEST</dispatcher>
    </filter-mapping>

<filter>
        <filter-name>httpHeaderSecurity</filter-name>
        <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
        <async-supported>true</async-supported>
        // 添加以下代码start
      <init-param>
        <param-name>antiClickJackingEnabled</param-name>
        <param-value>true</param-value>
      </init-param>
      <init-param>
        <param-name>antiClickJackingOption</param-name>
        <param-value>SAMEORIGIN</param-value>
      </init-param>    //添加end

    </filter>

以上三种方式都可以，是项目情况而定使用哪种！