Dojo
最新
最佳
搜索
订阅
解道Jdon
架构设计
领域驱动
DDD介绍
DDD专辑
战略建模
领域语言UL
领域事件
商业分析
工作流BPM
规则引擎
架构师观点
数据工程
产品经理
系统思维
微服务
微服务介绍
微服务专辑
模块化设计
SOA
API设计
clean架构
SpringBoot
分布式事务
分布式架构
Kubernetes
DevOps
编程设计
GoF设计模式
模式专辑
面向对象
函数式编程
编程语言比较
编程工具比较
形式逻辑
前端编程
Reactive编程
Jdon框架
Rust语言
ChatGPT
Web3
模因梗
幽默梗
程序员吐槽
面试技巧
Java入门
数字化转型
认知偏差
道德经
GitHub工具
更多话题
关于Clickjacking防御有没有好的方案
15-01-12
tianhandigeng
网站要做Clickjacking防御,但是有个问题就是有的页面是允许被其他站点嵌套的,这样的话OWASP中提到的使用X-Frame-Options和frame-busting,都不适用,请问一下这样的需求怎么解决呢? 上网上找了很久都没找到好的解决方案,而且网上大多数都觉得Clickjacking没有完美的解决方案,各位谁有经验的希望可以指导一下。
banq
2015-01-12 14:32
X-Frame-Options HTTP头有三个模式:DENY, SAMEORIGIN, 和ALLOW-FROM. 如果不允许选择缺省的DENY. 如果允许同一个域名网址设置 SAMEORIGIN. 如果允许一些指定的URL能够嵌套Frame,那么提供ALLOW-FROM和那个URL.
https://github.com/helmetjs/frameguard
http://www.jdon.com/46839
clickjacking
java
Security