我有一个.Net Web应用程序,其中我使用了一些iframe和框架集。为了保护我的网站免受跨框架脚本攻击,我计划在我的IIS或我的Global.asax中添加一个值为“SAMEORIGIN”的HTTP响应标头“X-Frame-Options”。这是我所指的文章:
http://blogs.microsoft.com/cybertrust/2009/02/05/clickjacking-defense-in-ie8/
但是,我可能希望在iframe内的特定页面上显示来自不同域的网页。那么,是否可以覆盖“仅适用于该页面”的“X-Frame-Options”标题设置为“ALLOW-FROM”并指定我想要允许的网站?如果是,那我该怎么做?如果我覆盖此页面的设置,那还会改变我的全局设置值吗?
答案 0 :(得分:0)
您最好的选择可能是在每个页面上设置标题。您可以拥有一个母版页,所有其他页面都可以从该母版页继承,然后单个页面可以覆盖母版页所具有的标题属性。