如果我们实施x-frame-options以防止点击顶升或者我们还需要强制提供framebusting(framekilling)代码是否足够?
我正在关注这篇文章 https://www.owasp.org/index.php/Clickjacking
我认为对于不支持x-frame-options的浏览器来说,需要进行framebusting。
最诚挚的问候,
Saurav
答案 0 :(得分:0)
几乎所有浏览器都支持X-Frame-Options标头,至少使用'deny'和'sameorigin'值。也许IE 8+是最平常的最弱点,所以IE 7不支持这个标题,但我不认为有人会再针对IE 7。
有关浏览器版本支持的详细信息,请参阅here。
所以简而言之,除了X-Frame-Options之外,你不需要framebusting代码。