我一直在尝试通过添加各种功能来使我的应用程序更加安全,其中之一是防止点击劫持。我已成功将 X-frame-options 添加到响应标头中,但经过更多研究后,我注意到此选项在 IE7 中不可用。因此,我可以为 IE7 做些什么呢?
问问题
458 次
1 回答
1
目前最好的解决方案是使用 JavaScript 来打破框架。当然,如果没有启用 JavaScript,它将无法工作。
来自 OWASP:
首先将 ID 应用于样式元素本身:
<style id="antiClickjack">body{display:none !important;}</style>
然后在脚本中立即按其 ID 删除该样式:
<script type="text/javascript">
if (self === top) {
var antiClickjack = document.getElementById("antiClickjack");
antiClickjack.parentNode.removeChild(antiClickjack);
} else {
top.location = self.location;
}
</script>
于 2018-08-21T15:20:23.750 回答