我正在使用jsp。 我必须通过跨框架脚本为应用程序提供安全性。我必须确保在身份验证之前和期间收集用户信息的所有页面都不会受到攻击。这些页面必须防止被封装在未经授权的站点的框架集中。 需要更多地了解如何防止框架被封装。
我已经通过以下链接找到了,但是找不到合适的解决方案。 “ https://www.owasp.org/index.php/Cross_Frame_Scripting”
我期望有一个演示项目,以便我能更多地了解跨框架脚本以及如何安全地封装我的应用程序。
答案 0 :(得分:0)
在HTTP响应中使用值为DENY,SAMEORIGIN或ALLOW-FROM uri的X-Frame-Options标头,以防止您的网站加载到框架中。
另一种方法是使用源URL验证您的URL,并在找到跨框架脚本的情况下使用您的URL重新加载页面。 请参考下面的脚本来做到这一点。
<script>
window.onload = function() {
if (window.location !== window.top.location) {
window.top.location = window.location;
}
}
</script>