Я уже писал, в заметке Ловим на живца www.free-lance.ru о том как злоумышленник может выполнять действия от имени авторизованного пользователя.
Один из методов реализации этой идеи подразумевает использование Фреймов. Чтобы избежать подобной ловушки, я предлагаю использовать простенький JavaScript код, который поможет определить загружена ли страница сайта в основном окне браузера либо во фрейме:

Данный код вы можете вставить в свою страницу и в случае ее загрузки во фрейме, ставить в известность пользователя соответствующим информационным сообщением.