点击劫持和图片覆盖劫持
点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe，覆盖在一
个网页上，然后诱使用户在该网页上进行操作，此时用户将在不知情的情况下点击透明的iframe

页面上的某个按钮或者链接。通过调整iframe 页面的位置，可以诱使用户恰好点击在iframe 页面的一些功能性按钮上。

<head><title>cross site image overlaying!!!</title></head><body><div id="image1"><a href="http://blog.csdn.net/kkdelta/article/details/8924724"><img src=http://avatar.csdn.net/0/2/7/1_kkdelta.jpg></a></div><a href="http://blog.csdn.net/kkdelta"><img src=http://avatar.csdn.net/0/2/7/1_kkdelta.jpgstyle=position:absolute;left:10px;top:10px;width:50px;height:50px;/></a></body></html>

所以我们在给用户提供输入HTML代码片段的时候，需要考虑这种漏洞。试了一下CSDN的代码编辑模式下是不是存在这种漏洞，发现对这两种都进行了屏蔽处理。