Stai parlando di attacchi ClickJacking . (Il titolo era diverso prima della mia modifica)
Can any one bypass it?
Sì, questo può essere aggirato quando si carica la pagina in un iframe. Purtroppo non ho il codice al momento. Tuttavia, ciò che può essere fatto è disabilitare javascript durante il caricamento dell'iframe. Questo eviterà il codice di busting del frame. (A mio modesto parere non esiste il codice frame busting
Is it neccessary to use X-FRAME-OPTIONS to prevent ClickJacking
attacks?
Per i browser più recenti è lo standard per prevenire gli attacchi di ClickJacking. Non vedo un motivo per non usarlo, poiché è abbastanza semplice aggiungere l'intestazione extra per ogni risposta.
One of them told me that an attacker can redefine the location variable:
var location = 'foo';
Poiché non viene visualizzato tutto il codice, è difficile dire se questo sia sfruttabile o meno. L'unica cosa che posso vedere da questa riga di codice è che l'attaccante potrebbe attaccare il proprio browser modificando la posizione della variabile, che è inutile.