X-Frame 阻止 iframe 的选项不是 100%
X-Frame Options Not 100% For Blocking Iframes
似乎将 X-Frame-Options 设置为拒绝是防止我的网站被 Iframed 最推荐的方法。但它并不完美。首先,X-Frame-Options 可以通过使用下面 post 中讨论的 Chrome 扩展名来忽略。我已经通过使用 Ignore X-Frame headers chrome 扩展名证明了这种情况。
Getting around X-Frame-Options DENY in a Chrome extension?
其次,X-Frame-Options deny 只对网页的第一个 iframe 有效,如果我对一个网页使用 iframe 两次,则第二个 iframe 有效。
我的问题是,防止我的网站被 iframed 的最佳多管齐下方法是什么?
X-Frame-Options 只是一个响应头。当然,如果你控制客户端,你可以忽略它。如果你控制客户端,你几乎可以做任何事情。
X-Frame-Options 中的要点是防止像 Clickjacking (primarily) or Pixel Perfect Timing Attacks 这样的攻击。它确实阻止了这些攻击,因为攻击者无法控制受害者的浏览器说安装扩展(或者如果他可以,从受害者的角度来看,点击劫持是最不重要的问题:))。
似乎将 X-Frame-Options 设置为拒绝是防止我的网站被 Iframed 最推荐的方法。但它并不完美。首先,X-Frame-Options 可以通过使用下面 post 中讨论的 Chrome 扩展名来忽略。我已经通过使用 Ignore X-Frame headers chrome 扩展名证明了这种情况。
Getting around X-Frame-Options DENY in a Chrome extension?
其次,X-Frame-Options deny 只对网页的第一个 iframe 有效,如果我对一个网页使用 iframe 两次,则第二个 iframe 有效。
我的问题是,防止我的网站被 iframed 的最佳多管齐下方法是什么?
X-Frame-Options 只是一个响应头。当然,如果你控制客户端,你可以忽略它。如果你控制客户端,你几乎可以做任何事情。
X-Frame-Options 中的要点是防止像 Clickjacking (primarily) or Pixel Perfect Timing Attacks 这样的攻击。它确实阻止了这些攻击,因为攻击者无法控制受害者的浏览器说安装扩展(或者如果他可以,从受害者的角度来看,点击劫持是最不重要的问题:))。