Cat*_*h22 5 security iframe http-headers
添加X-Frame-Options DENY到响应头有助于防止网页的恶意框架,作为一种解决方案,它肯定比客户端JavaScript解决方案更好.
但它有多有用呢?所有(现代)浏览器都支持它,是否可以被劫持您网站的黑客绕过?
EricLaw 的页面维护着支持浏览器的列表。
\n\n目前主流桌面浏览器版本均支持;旧版本和利基市场,而某些移动浏览器则不然。因此,您可能还想包含一个反框架来<script>设置(并top.location首先删除页面内容,以防出现反框架破坏;请参阅此问题了解原因)。
X-Frame-Options当您想要选择性地允许框架时,您可能更喜欢脚本方法。X-Frame-Options不允许 \xe2\x80\x98whitelisting\xe2\x80\x99,因此您不能允许 Google 图片流量,但不能允许其他流量。
无论哪种方式,IE6-7 仍然允许攻击者构建您的页面并禁用框架破坏程序。不幸的是,这个有问题的<iframe security>属性以前就存在X-Frame-Options。您可以尝试添加<base target="_top">以尝试使任何导航突破传统框架(或者在存在反框架破坏者的情况下不起作用),但这无法帮助您抵御隐形 iframe 覆盖攻击。
| 归档时间: |
|
| 查看次数: |
5468 次 |
| 最近记录: |