IE7 X-Frame-Options 的替代方案
Posted
技术标签:
【中文标题】IE7 X-Frame-Options 的替代方案【英文标题】:Alternative to X-Frame-Options for IE7 【发布时间】:2015-03-16 06:24:17 【问题描述】:我一直在尝试通过添加各种功能来使我的应用程序更加安全,其中之一是防止点击劫持。我已成功将 X-frame-options 添加到响应标头中,但经过更多研究后,我注意到此选项在 IE7 中不可用。因此,我可以为 IE7 做些什么呢?
【问题讨论】:
你能找到解决办法吗? 【参考方案1】:目前最好的解决方案是使用 javascript 来打破框架。当然如果不启用 JavaScript 就不行了。
来自 OWASP:
首先为样式元素本身应用一个 ID:
<style id="antiClickjack">bodydisplay:none !important;</style>
然后在脚本中通过其 ID 立即删除该样式:
<script type="text/javascript">
if (self === top)
var antiClickjack = document.getElementById("antiClickjack");
antiClickjack.parentNode.removeChild(antiClickjack);
else
top.location = self.location;
</script>
来源:https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet#Best-for-now_Legacy_Browser_Frame_Breaking_Script
【讨论】:
以上是关于IE7 X-Frame-Options 的替代方案的主要内容,如果未能解决你的问题,请参考以下文章
如何在 laravel 项目中设置 X-Frame-Options?
360网站安全提示"X-Frame-Options头未设置"怎么解决
X-Frame-Options拒绝加载:domain.com/attachments/do-upload不允许框架