为了防止您的网站发生点击劫持,我注意到了几种不同的方法。有些人使用 javascript 让您的网站脱离 iframe,另一种解决方案是将 X-FRAME-OPTIONS 标头设置为 DENY 或 SAMEORIGIN。您认为我提到的两种方法中的哪一种更安全?这是我用来测试点击劫持的示例页面。
<HTML>
<BODY>
<H1>Clickjacking Test</H1>
<IFRAME SRC="http://www.google.com/" HEIGHT="500" WIDTH="500"></IFRAME>
</BODY>
</HTML>
使用 iframe 中断代码,您将看到 Firefox 和 Safari 退出 iframe 的速度很慢,这意味着您将看到 Clickjacking 测试,然后它将突破该 iframe 并显示原始网站。使用 IE 和 Chrome 速度快到不明显。但是使用 X-Frame-Options 解决方案,您根本看不到您的网站。它将被阻止。就像上面例子中的谷歌一样。所以我的问题是哪个解决方案更好?完全阻止它或脱离 iframe(在 2 个浏览器中速度很慢)