Thêm X-Frame-Options DENY vào tiêu đề phản hồi giúp bảo vệ chống lại khung độc hại của trang web và giải pháp tốt hơn là các giải pháp JavaScript phía máy khách.Tiêu đề X-Frame-Options hữu ích trong việc bảo vệ khung chống độc hại là gì?
Nhưng nó hữu ích đến mức nào? Được hỗ trợ bởi tất cả các trình duyệt (hiện đại) và nó có thể được bỏ qua bởi tin tặc có ý định chiếm đoạt trang web của bạn không?
EricLaw's page duy trì danh sách các trình duyệt hỗ trợ.
Các phiên bản hiện tại của các trình duyệt dành cho máy tính để bàn lớn đều hỗ trợ nó; các phiên bản cũ hơn và thích hợp và một số trình duyệt di động thì không. Vì vậy, có thể bạn sẽ muốn bao gồm một khung chống đóng khung <script>, để đặt top.location (và xóa nội dung trang trước tiên trong trường hợp chống khung phá sản; xem this question để biết lý do).
Bạn có thể thích cách tiếp cận tập lệnh theo số X-Frame-Options khi bạn muốn chọn có chọn khung. X-Frame-Options không cho phép ‘danh sách trắng’, vì vậy bạn không thể ví dụ như cho phép lưu lượng truy cập Google Hình ảnh nhưng không cho phép lưu lượng truy cập khác.
Dù bằng cách nào, IE6-7 sẽ vẫn cho phép kẻ tấn công đóng khung trang của bạn và vô hiệu hóa khung-buster. Rất tiếc, thuộc tính có vấn đề <iframe security> tồn tại trước X-Frame-Options. Bạn có thể thử thêm <base target="_top"> để cố gắng thực hiện bất kỳ điều hướng nào trong quá trình tạo khung truyền thống (hoặc không hoạt động, với sự hiện diện của bộ chống khung), nhưng điều này không thể giúp bạn chống lại các cuộc tấn công lớp phủ khung nội tuyến vô hình.
Điểm tốt về Tùy chọn X-Frame không cho phép danh sách trắng. Tôi cũng đã đọc rằng thực hành tốt nhất là không đặt tiêu đề này trên mọi trang - nhưng chỉ trên các trang nhạy cảm để giúp các vấn đề về bước bên với Google Images chẳng hạn. – Catch22
Bạn có thể vận hành một danh sách trắng bằng cách đặt nó cho phép nếu tiêu đề liên kết giới thiệu/nguồn gốc là trang web đáng tin cậy. – Gelatin