按域名过滤iframe;

时间:2013-10-02 10:53:36

标签: security iframe x-frame-options

我如何才允许将我的网站框起来:http://myDomain.com;我的网站有不同的网址;所以

<meta http-equiv="X-Frame-Options" content="sameorigin"> 

不起作用

<meta http-equiv="X-Frame-Options" content="ALLOW-FROM http://myDomain.com">
并非所有浏览器都支持

; 谢谢你的帮助;

2 个答案:

答案 0 :(得分:0)

你可以这样做,但你必须写一些脚本。

标准的framebreaker脚本如下所示:

if( top != self ) {
    top.location.href = self.location.href; 
}

你可以根据自己的需要量身定做:

if (top != self) {
    if (top.location.toLower().indexOf("http://mydomain.com/") != 0) {
        top.location.href = "http://mydomain.com/error.html";
    }
}

答案 1 :(得分:0)

感谢SilverlightFox&amp;约翰吴为你的答案; 我试过这个:https://www.owasp.org/index.php/Clickjacking_Protection_for_Java_EE 在服务器端做它并且运行良好;