Perché no? Sembra che questo sia usato solo per il clickjacking, la soluzione dovrebbe essere abbastanza semplice.
Eliminare l'opacità sugli elementi contenenti un iframe avrebbe un impatto negativo delle interfacce utente (ad esempio, nessun effetto di dissolvenza gradevole quando gli iframe sono in gioco), ma non bloccherebbe gli attacchi di clickjacking.
Anche se gli iframe trasparenti erano impossibili, si potevano comunque ottenere tutti gli stessi attacchi usando un iframe di 1x1 pixel che seguiva il puntatore. Il posizionamento all'interno di quel pixel può essere ottenuto scorrendo un iframe doppiamente annidato. La potenziale differenza di un pixel sotto il puntatore a riposo sarebbe quasi certamente non rilevabile per l'utente.
Quindi, sì, un browser potrebbe bloccarlo e temporaneamente essere protetto da una forma di attacco comune. Ma non appena un numero significativo di utenti dispone di browser che lo fanno, l'hacker modificherà semplicemente la tecnica di implementazione. Questo è un esempio di una "correzione" che funziona solo rendendo qualcun altro il frutto a bassa attaccatura; una volta che tutti iniziano a farlo, non è affatto una soluzione. Di conseguenza, ha senso implementare per un'estensione del browser che non molti usano, ma non ha senso per un browser popolare.
FYI ci sono altri modi per fare clickjacking senza trasparenza iframe, quindi non sarebbe di aiuto comunque.
L'unico modo per prevenire il clickjacking è alterare il gui (posizionamento casuale del pulsante BUY?) o creare sequenze di conferma per azioni critiche (es. forzare le persone a usare la tastiera)
Anche se i browser non consentono di sovrapporre gli elementi (oltre gli iframe) e hanno capito come trattare (quando negano) con l'opacità. Esistono ancora tecniche di clickjacking che possono aggirare queste regole, ad esempio, iframe ridimensionato a 1 × 1 pixel e poi l'attaccante aggiunge tanti iframe quanti ne ha bisogno per disegnare grafica personalizzata usando quegli iframe.
Leggi altre domande sui tag html web-browser web-application