我在我的网站页面上设置 x-frame-options 但由于一些嵌套逻辑,在某些页面上我看到重复值,例如:
X-FRAME-OPTIONS:SAMEORIGIN,SAMEORIGIN
代替:
X-FRAME-OPTIONS:SAMEORIGIN
是否可以将重复的值分配给 X-FRAME-OPTIONS,它会选择分配的第一个值并忽略其余的值吗?
谢谢。
【问题讨论】:
标签: security x-frame-options clickjacking
我正在研究同样的事情,因为我们添加了 X-FRAME-OPTIONS 但它也由 Html.AntiForgeryToken() 添加。
我还没有找到关于重复的结论性的答案,尽管看起来如果它们相同,那不是问题。但是,如果有 conflicting multiple entries,问题仍然存在,因为它们可能是互斥的。我确实找到了一个对我有用的solution,特别是 SuppressXFrameOptionsHeadersAttribute。
【讨论】:
这在大多数现代浏览器上应该没问题。 Apparently,有一个问题,X-FRAME-OPTIONS 标头中的重复值会导致标头被完全忽略,但这已在 Firefox > 14 中修复。我想这个问题,如果它曾经存在于第一个位置,在 Chrome 和 Edge 中也得到了类似的修复。
【讨论】: