我听说使用 iframe 时可能会出现许多安全问题。我已经处理了 XSS,我还应该怎么做才能确保没有问题发生?
我遇到了一些使用 top.window 的 JS 代码,但我担心的是任何客户端代码都不可靠,我还能从服务器端做什么?(我目前正在使用 php,但如果解决方案是通用的,那就太棒了)
更新:为了让事情更清楚,我实际上使用的是 iframe,这只是因为我不希望每次都刷新标题、菜单等。所以我试图找到一种方法来使用 iframe 而不会陷入安全问题。
问问题
147 次
1 回答
1
您可以将X-FRAME-OPTIONS标头设置为拒绝。这会让浏览器知道如果资源是通过 iframe 加载的,那么就不会显示。
您可以阅读有关此内容的更多信息并配置服务器以发送此标头@MDN。此外,您可以在 PHP 中使用
header("X-FRAME-OPTIONS: DENY")
于 2012-07-07T03:58:40.860 回答