我已将 Apache 中的 X-Frame-Options 标头设置为 DENY。响应标头正确发送到浏览器(见图)。我刚刚创建了一个简单的 HTML 文件,它加载了一个 iframe,该文件加载没有任何问题。我还检查了 Chrome devtools,响应头返回“x-frame-options: DENY”。我假设标题会阻止所有 iframe 加载?
并不真地。X-Frame-Options: DENY
防止你的页面被加载到iframe
.
X-Frame-Options: SAMEORIGIN
- 只会阻止从其他域加载。
它对当前页面上的 iframe 没有任何作用。
X-Frame-Options HTTP 响应头可用于指示是否应允许浏览器在 , , 中呈现页面
来源:https : //developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
这说明!我将 ClickJacking 攻击误解为将恶意 iframe(通过利用其他漏洞)注入原始网页,这可以通过告诉浏览器拒绝加载 iframe 来阻止。但事实并非如此,非常感谢。