我知道我可以检查引用者的请求标头。够了吗?例如——像 Disqus 这样的服务如何安全地防止另一个站点嵌入其他人的评论线程?
问问题
2721 次
3 回答
2
原来我正在寻找的是X-Frame-Options response header. 它允许您指定 iframe 可以在其中呈现的原点。
更多信息:https ://developer.mozilla.org/en-US/docs/HTTP/X-Frame-Options
于 2013-11-11T19:08:46.697 回答
0
查看浏览器标头(它们是一种非常强大且相对较新的安全机制),但是我相信不同的浏览器在实现标头的方式上有所不同(进行更改:-()
于 2013-11-13T16:08:52.463 回答
0
标X-Frame-Options头仅真正允许毯子DENY和SAMEORIGIN设置,并且已被较新的Content-Security-Policy标头过时。
CSPframe-ancestors可用于所有现代浏览器,以将 iframe 嵌入限制到某些域。例如:
Content-Security-Policy: frame-ancestors 'self' https://www.example.org;
于 2021-11-16T17:20:11.680 回答