我一直在尝试通过添加各种功能来提高我的应用程序的安全性,其中之一是防止点击劫持。我已经将X-frame-options成功添加到了响应头中,但是在进行了更多研究之后,我注意到IE7中没有此选项。因此,我该怎么办IE7?
最佳答案
目前最好的解决方案是使用JavaScript打破框架。当然,如果未启用JavaScript,它将无法正常工作。
从OWASP:
首先将一个ID应用于样式元素本身:<style id="antiClickjack">body{display:none !important;}</style>
然后在脚本之后立即通过其ID删除该样式:
<script type="text/javascript">
if (self === top) {
var antiClickjack = document.getElementById("antiClickjack");
antiClickjack.parentNode.removeChild(antiClickjack);
} else {
top.location = self.location;
}
</script>
资料来源:https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet#Best-for-now_Legacy_Browser_Frame_Breaking_Script
关于same-origin-policy - 替代IE7的X-Frame-Options,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/28004441/