关于Clickjacking防御有没有好的方案

15-01-12 tianhandigeng
              

网站要做Clickjacking防御,但是有个问题就是有的页面是允许被其他站点嵌套的,这样的话OWASP中提到的使用X-Frame-Options和frame-busting,都不适用,请问一下这样的需求怎么解决呢? 上网上找了很久都没找到好的解决方案,而且网上大多数都觉得Clickjacking没有完美的解决方案,各位谁有经验的希望可以指导一下。

              

banq
2015-01-12 14:32

X-Frame-Options HTTP头有三个模式:DENY, SAMEORIGIN, 和ALLOW-FROM. 如果不允许选择缺省的DENY. 如果允许同一个域名网址设置 SAMEORIGIN. 如果允许一些指定的URL能够嵌套Frame,那么提供ALLOW-FROM和那个URL.

https://github.com/helmetjs/frameguard

http://www.jdon.com/46839