Опции X-Frames в метатеге

Question

Опции X-Frames в метатеге

Я создал тестовое приложение, в котором я изучаю различные методы защиты от Clickjacking и других атак, направленных на исправление пользовательского интерфейса. Одним из наиболее часто используемых методов является X-Frames-Options вдоль кода Frame-Busting. То, что я не могу понять, это причина, по которой следующее не рекомендуется, и в соответствии с OWASP: ( https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet) не работает (хотя это работает в моем тесте applciation, я не могу создать рамку страницы, если включено следующее)

 <meta http-equiv="X-Frame-Options" content="deny">

Любое объяснение или ссылка на ответ будет принята с благодарностью.

По-видимому, это связано с тем, что мета-тег не может быть получен до тех пор, пока информация не будет отображена в субкадре. Это все еще работает в браузере, таком как Chrome и Firefox, но игнорируется IE.

4

html5 meta clickjacking

Источник

user3392816 07 май '15 в 13:11

1 ответ

Другие вопросы по тегам html5 meta clickjacking

user1990451 07 май '15 в 13:40 2015-05-07 13:40 · Answer 1 · 2015-05-07 13:40

Согласно многим ресурсам (не только ваш URL, но и, например, этот) <meta> тег должен быть проигнорирован.

Если ваш браузер этого не делает, это не значит, что все браузеры этого не делают. Поэтому, чтобы быть в безопасности, вы должны указать HTTP-заголовок.

Вопрос почему так? Вероятно, одной из причин является то же самое, почему они советуют избегать использования следующего:

<meta name="robots" content="noindex" />

Причина, по моему мнению, заключается в том, что для получения этого метатега вам необходимо скачать и проанализировать всю страницу. Чтобы прочитать заголовок HTTP, вам не нужно этого делать.

В этом случае HTTP-заголовок - это просто более эффективный способ ускорить работу браузера, так что это может быть причиной, заставляющей вас убивать метатеги.