Clickjacking防护：CSP frame-ancestors与X-Frame-Options

Clickjacking防护：CSP frame-ancestors与X-Frame-Options概览点击劫持通过隐藏层与不可信嵌入诱导用户误操作。正确的响应头能有效防护。技术参数（已验证）frame-ancestors：指定允许嵌入的来源，优先使用 CSP 控制。X-Frame-Options：`DENY`/`SAMEORIGIN` 老方案，兼容旧浏览器。组合策略：结合 `Content-Security-Policy` 与白名单，减少误伤。实战清单默认禁止嵌入，仅对受信域开放，配合 SRI 与 CORS。监控 `frame-ancestors` 命中与误报，迭代策略。