Если они не помешали этому, злоумышленник может загрузить страницы Facebook в прозрачный iframe и поместить под него что-нибудь интересное.Предположим, что жертва вошла в Facebook и затем заходит на сайт злоумышленника (через некоторое время в другой вкладке).
Жертва нажмет на что-нибудь на сайте злоумышленника.Но на самом деле это нажатие на прозрачный iframe и запуск некоторых действий на сайте facebook.Разумеется, браузер отправил файл cookie сеанса в Facebook, и Facebook видит законное действие зарегистрированного пользователя.
В Википедии есть статья о Clickjacking: http://en.wikipedia.org/wiki/Clickjacking
Эту атаку можно предотвратитьиспользование неофициального http-заголовка X-Frame-Option, как описано в http://www.webmasterworld.com/webmaster/4022867.htm К сожалению, не все браузеры поддерживают его, поэтому также необходим java-скрипт для разрыва фрейма.