我已经创建了一个测试应用程序,其中我将研究针对Clickjacking和其他UI纠正攻击的不同防御技术。最常用的技术之一是沿着Frame-Busting代码的X-Frames-Options。我不明白的原因是为什么不推荐以下内容,并且根据OWASP:(https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet)不起作用(尽管它适用于我的测试应用程序,我可以&#39 ;如果包含以下内容,则框架页面
<meta http-equiv="X-Frame-Options" content="deny">
非常感谢任何解释或答案的链接。
显然这是因为在信息已经在子帧中呈现之前可能不会接收到META标记。这仍然适用于Chrome和Firefox等浏览器,但IE会忽略。
答案 0 :(得分:3)
根据许多资源(不仅是您的网址,还包括this one),应忽略<meta>标记。
如果您的浏览器不这样做,那并不意味着所有浏览器也不会这样做。因此,为了安全起见,您必须指定HTTP标头。
为什么会这样?可能其中一个原因与他们为什么要避免使用以下内容相同:
<meta name="robots" content="noindex" />
在我看来,原因是要获得此元标记,您需要下载并解析整个页面。要读取HTTP标头,您不需要这样做。
在这种情况下,HTTP标头只是加快浏览器速度的有效方法,因此可能是迫使你杀死元标记的原因。