OWASP 有一个page,他们建议使用 x-frame-options 和 frame-options 来防止点击劫持。后者在几年前被定义为draft,但我找不到有关该草案的任何实施或接受的信息。它是否被接受,是否计划或换句话说它的状态是什么,我们应该添加它还是现在只使用 x-frame-options。
【问题讨论】:
Frame-Options 不是标准的。
新标准是使用CSP's frame-ancestors directive。
frame-ancestors 指令指定了可以嵌入的有效父级 使用
<frame>和<iframe>元素的页面。该指令不 在元素或由 Content-Security-Policy-Report-Only 标头字段。
由于这是一个新标准 (see browser support here),建议同时使用 X-Frame-Options,而您的平台支持的所有浏览器要么赶上,要么淘汰。
【讨论】:
建议无论草稿是否被批准,服务器都以X-Frame-Options 标头进行响应。我从Acunetix漏洞描述中提取了以下内容:
点击劫持(用户界面补救攻击、UI 补救攻击、UI 补救)是一种恶意技术,它诱骗 Web 用户点击与用户认为他们正在点击的内容不同的内容,从而可能泄露机密信息或控制他们的电脑同时点击看似无害的网页。
我的印象是草稿不是标准化的(至少在本文发布时),因为 X-Frame-Options 通过不同的浏览器实现不同,导致意外的结果和行为——然而,这只是我的猜测,可能是为了完全不同的原因。
【讨论】: