我听说使用iframe时可能会出现许多安全问题。我已经处理过XSS,我还应该做些什么来确保没有问题发生?
我遇到了一些使用top.window的JS代码,但我担心的是,任何客户端代码都不可靠,我可以从服务器端执行任何其他操作吗? (我目前正在使用php,但如果解决方案是通用的话会很棒)
更新:为了让事情更清楚,我实际上正在使用iframe,这只是因为我不希望每次都刷新标题,菜单等。所以我试图找到一种方法来使用iframe而不会陷入安全问题。
答案 0 :(得分:1)
您可以将X-FRAME-OPTIONS标头设置为拒绝。这将让浏览器知道如果通过iframe加载资源,则不显示。
您可以阅读有关此内容的更多信息。配置服务器以发送此标头@ MDN。另外,你在PHP中可以使用
header("X-FRAME-OPTIONS: DENY")