Die Demonstrationen basieren alle auf dem gleichen Beispiel, dass Sie hier aufrufen können: Beim Klick auf den auf den grünen Text "Bitte hier klicken", klicken Sie tatsächlich auf den Submit-Button der Datei ziel.html.
In der zweiten Demonstration, die Sie hier aufrufen können, verhindert ein Framebuster in der Zielseite den Angriff: Beim Versuch, die Datei ziel.html in den iframe zu laden, sorgt der Framebuster dafür, dass sie im Hauptfenster geladen wird und die Seite mit dem Angriff verdrängt.
In der dritten Demonstration, die Sie hier aufrufen können, verhindert das sandbox-Attribut des iframes, dass der Framebuster in der Zielseite den Angriff verhindert. Der Angriff ist trotz Framebuster möglich.
Die dritte Demonstration funktioniert bei Ihnen nicht? Dann verwenden Sie den "falschen" Browser, wie so oft wenn es um HTML5 geht. Die dritte Demonstration wurde erfolgreich in Chrome, Safari und iCab (einem Browser für Mac OS X, der Webkit verwendet) getestet.
Firefox, der Internet Explorer vor Version 10 und Opera kennen keine Sandbox für iframes, so dass die Demonstration (und Clickjacking-Angriffe die auf die Sandbox bauen) darin nicht funktionieren kann.