От http://msdn.microsoft.com/en-us/library/cc288472(v=vs.85).aspx#search
Clickjacking Defense: Некоторые хакеры пытаются обмануть пользователей нажатием кнопок, которые отображаются на p erform безопасные или безобидные функции, но вместо этого выполняют несвязанные задачи. Clickjackers внедряют вредоносный код или «исправляют» пользовательский интерфейс, используя прозрачные кадры, которые накладывают определенные элементы пользовательского интерфейса на вводящий в заблуждение текст и изображения. Чтобы предотвратить блокировку clickjacking, владельцы веб-сайтов могут отправлять заголовок ответа HTTP с именем X-Frame-Options с HTML-страницами, чтобы ограничить способ создания страницы.
X-Frame-Options: Deny
Если значение X-Frame-Options содержит маркер Запретить, Internet Explorer 8 предотвращает страницу от оказания, если оно содержится в кадре. Если значение содержит токен SameOrigin, Internet Explorer не будет отображать страницу, если контекст верхнего уровня-просмотра отличается от источника страницы, содержащей директиву. Заблокированные страницы заменяются страницами «Этот контент не может отображаться в кадре».
ли 'SameOrigin' принимать поддомены? – Pacerier
@Pacerier Я так не верю: http://en.wikipedia.org/wiki/Same_origin_policy#Origin_determination_rules – wkm