似乎设置X-Frame-Options to deny是阻止我的网站被Iframed的最推荐的方法。但它并不完美。首先关闭X-Frame-Options可以使用Chrome扩展程序忽略,如下文所述。我已经使用Ignore X-Frame标题chrome扩展证明了这种情况。
Getting around X-Frame-Options DENY in a Chrome extension?
其次X-Frame-Options deny仅适用于网页的第一个iframe,如果我将iframe网页设置为第二个iframe的两倍。
我的问题是,阻止我的网站被阻止的最佳多管齐下方法是什么?
答案 0 :(得分:0)
X-Frame-Options只是一个响应头。当然,如果你控制客户端,你可以忽略它。如果您控制客户端,您几乎可以做任何事情。
X-Frame-Options中的要点是防止Clickjacking(主要)或Pixel Perfect Timing Attacks等攻击。它确实可以防止这些攻击,因为攻击者无法控制受害者的浏览器来安装扩展程序(或者如果可以的话,Clickjacking是受害者最不重要的问题:))。