X-Frame选项不是100％用于阻止iframe

Posted 2021-03-28

似乎设置X-Frame-Options to deny是阻止我的网站被Iframed的最推荐的方法。但它并不完美。首先关闭X-Frame-Options可以使用Chrome扩展程序忽略，如下文所述。我通过使用Ignore X-Frame标头chrome扩展证明了这种情况。

Getting around X-Frame-Options DENY in a Chrome extension?

其次，X-Frame-Options拒绝仅适用于网页的第一个iframe，如果我iframe网页是第二个iframe的两倍。

我的问题是，阻止我的网站被欺骗的最佳多管齐下方法是什么？

答案

X-Frame-Options只是一个响应头。当然，如果你控制客户端，你可以忽略它。如果您控制客户端，您几乎可以做任何事情。

X-Frame-Options中的要点是防止像Clickjacking（主要）或Pixel Perfect Timing Attacks这样的攻击。它确实可以防止这些攻击，因为攻击者无法控制受害者的浏览器来安装扩展程序（或者如果可以的话，从受害者的角度来看，Clickjacking是最少的问题:)）。