我正在开发一个小部件,它将托管在服务器上,例如www.exampleserver.com。
我们的客户会将这个iframe嵌入他的网站www.validclient.com。 现在,在嵌入此小部件时,短信将被发送给客户的客户。
现在我正在考虑通过双框架进行Clickjacking,其中一个attcker可以将我们的客户端URL嵌入到iframe中。现在,widget服务器发现请求来自有效的客户端,服务器发送短信。
有效的客户代码:
<html>
// some line of code
<iframe src="www.exampleserver.com" />
// some line of code
</html>
Attcker Code
<html>
// some line of code
<iframe src="www.validclient.com" />
// some line of code
</html>
所以我只希望我的服务器网址内容在客户端iframe上呈现,而不是在攻击者iframe上。为了这个安全性,我使用了:
内容 - 安全政策:框架 - 祖先http://www.validclient.com
和
X-Frame-Options:ALLOW-FROM http://www.validclient.com
令人惊讶的是它会阻止攻击者iframe上的网址。
但是Internet Explorer和其他一些浏览器不支持此功能。
请告诉我任何其他防止此攻击的方法,这些方法必须适用于所有浏览器。
提前致谢。希望得到积极的回复。