【发布时间】:2021-11-17 01:20:11
【问题描述】:
我知道我可以检查引荐来源网址的请求标头。够了吗?例如 – Disqus 之类的服务如何安全地防止其他网站嵌入其他人的评论线程?
【问题讨论】:
-
Disqus 向他们的服务发送了大量请求,所以我认为使用了一些复杂的 javascript 身份验证。
【发布时间】:2021-11-17 01:20:11
【问题描述】:
原来我在找的是X-Frame-Options response header。它允许您指定 iframe 可以在其中呈现的原点。
更多信息:https://developer.mozilla.org/en-US/docs/HTTP/X-Frame-Options
【讨论】:
-
'ALLOW-FROM uri' 在浏览器上的支持非常有限
查看浏览器标头(它们是一种非常强大且相对较新的安全机制),但是我相信不同的浏览器在实现标头的方式上有所不同(进行更改:-()
【讨论】:
-
这是一个非常模糊的答案 - which 标题?
X-Frame-Options 标头实际上只允许一揽子 DENY 和 SAMEORIGIN 设置,并且已被较新的 Content-Security-Policy 标头废弃。
CSP frame-ancestors 可用于所有现代浏览器,以将 iframe 嵌入限制到某些域。例如:
Content-Security-Policy: frame-ancestors 'self' https://www.example.org;
【讨论】: