0

我需要为网站添加点击劫持保护。我知道这可以在 IIS 中通过为较新的浏览器设置 X-Frame 选项来完成。对于较旧的浏览器,我知道您需要添加 frame buster - 这是一些 javascript 等。

这是我的主要问题:如果您必须为旧浏览器的框架破坏者添加 javascript - 您是否必须将其添加到您网站中的每个 html 页面中?我的网站有很多不同的 html 页面等。只需要一个好的意见。

4

1 回答 1

0

是的,你在每个页面上都需要它,或者它毫无意义——如果给定的页面没有受到保护,那么恶意行为者可以将它放在一个框架中并做任何他或她想做的事情,包括,比如说,让它看起来像一个结帐表格。

最简单的方法是将其放入为每个页面加载的外部脚本中;不要将脚本本身放在每个页面中。如果您有任何类型的模板系统,那就更容易了;只需将它一次添加到您的头文件中。

于 2014-02-23T20:40:11.493 回答