根据本文,我正在实现“传递”功能,X-Frame-Options以使合作伙伴网站将我的雇主网站包装在iframe中:http : //blogs.msdn.com/b/ieinternals/archive/2010/03/30 /combating-clickjacking-with-x-frame-options.aspx
(拆分要发布的网址)
简而言之,我们合作伙伴的页面上有一个iframe,其中包含针对我们域的URL。对于我们域中的任何页面,他们都会添加一个特殊的url参数,例如&@mykey=topleveldomain.com,告诉我们该页面的顶级域是什么。
我们的过滤器会从网址中选择合作伙伴TLD(如果提供),并根据白名单对其进行验证。如果它在列表中,我们将为X-Frame-Options标题提供值ALLOW-FROM topleveldomain.com(并为将来的点击添加cookie)。如果不在我们的白名单中,我们将发货SAMEORIGIN或DENY。
问题在于,ALLOW-FROM domain对于最新的Firefox和Google Chrome,发送结果似乎没有任何操作。至少IE8似乎正在正确实施ALLOW-FROM。
签出此页面:http : //www.enhanceie.com/test/clickjack。在“应该显示内容”的第5个(共5个)框之后,是一个不应显示内容的框,但实际上是。在这种情况下,iframe中的页面正在发送X-Frame-Options: ALLOW-FROM http://www.debugtheweb.com,这与完全不同http://www.enhanceie.com。但是,框架仍显示内容。
关于是否X-Frame-Options可以ALLOW-FROM在相关(桌面)浏览器中真正实现的任何见解?也许语法已更改?
一些有趣的链接:
- 关于x-frame-options的RFC草案:http://tools.ietf.org/html/draft-gondrom-frame-options-01
- developer.mozilla文章将标题作为2选项标题(sameorigin或deny)进行了讨论。 https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options
- 引发整个事件的msdn博客:http : //blogs.msdn.com/b/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx
- 讨论3个值的msdn博客:添加allow-from来源http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx