1
什麼是最好的(最安全的)方式來限制哪些網站可以通過網絡應用嵌入iframe?如何限制iframe嵌入我的web應用程序的人員?
例如,每個人都應該被剝奪誰是不在名單上:
- www.myFriend.com
- www.anotherFriend.com
- www.myThirdFriend.com
作爲後續問題,鑑於上述任何限制,尋找服務器端哪一個白名單網站正在進行嵌入的最安全的方法是什麼?
A
回答
4
使用X-Frame-Options HTTP header。
X-Frame-Options ALLOW-FROM http://example.com/
又見它有這個建議的MSDN documentation:
注意,允許 - 從令牌不支持通配符或列出多個來源的 。對於在服務器希望允許在一個頁面更 幀的內容的情況下,下面的設計模式是 推薦:
- 外IFRAME提供它自己的來源的信息,使用在內部IFRAME的一個 查詢參數src屬性。這可以明顯由攻擊者指定,但這沒關係。
- 服務器內部IFRAME驗證提供的Origin信息符合 商業實踐要求的任何標準。例如,服務於包含社交網絡「贊」按鈕的IFRAME的服務器 可能會檢查提供的Origin是否與該Like按鈕的原始 匹配,並且指定的 Origin的所有者具有有效聯屬關係,等等
- 如果與供給的 信息滿足,用於內IFRAME服務器發送一個 X-FRAME-OPTIONS:允許-從suppliedorigin頭
- 然後,瀏覽器 強制執行X-FRAME-OPTIONS指示。
0
X框-選項響應頭
使用X框-選項 有用於X幀 - 選項三個可能的值:
DENY: 頁面無法顯示在框架中,reg試圖這樣做的網站很少。SAMEORIGIN: 該頁面只能顯示在與頁面本身相同的源框架中。ALLOW-FROM uri: 頁面只能顯示在指定原點的框架中。
相關問題
- 1. 如何將android聯繫人嵌入到我的應用程序
- 2. 如何嵌入我的Web應用程序
- 3. 如何將Web瀏覽器嵌入我的Cocoa應用程序?
- 4. 我如何讓我的iframe應用程序可見所有人?
- 5. 在Silverlight中嵌入iframe應用程序
- 6. Yammer嵌入式應用程序iframe
- 7. 如何阻止訪問用於嵌入的Web應用程序?
- 8. .NET Web開發人員如何開發移動應用程序?
- 9. Iframe和React.js - 如何嵌入YouTube視頻到我的應用程序
- 10. 如何將Web會議室嵌入到Web應用程序中?
- 11. 如何限制Web應用程序中的屏幕訪問..?
- 12. 如何限制.Net Web應用程序的ODBC連接數量?
- 13. 可視化Web開發人員 - 控制檯應用程序,如何
- 14. 如何將youtube視頻嵌入到facebook iframe應用程序中?
- 15. 如何在PhoneGap應用程序中嵌入iframe?
- 16. 如何限制的JavaScript文件訪問我的web應用程序
- 17. 如何限制Ubuntu用戶訪問我的Web應用程序文件?
- 18. 將Web API限制爲應用程序
- 19. Azure Web應用程序超出限制
- 20. 如何使用REST API CALL將jitsi嵌入到我的web應用程序中?
- 21. C#窗口應用程序開發人員的Web應用程序參考
- 22. 在我的rails應用程序中嵌入resque-web前端
- 23. 嵌入式CRUD Web應用程序
- 24. 我如何在我的應用程序中嵌入網站
- 25. 在移動應用程序中嵌入web應用程序
- 26. 如何在另一個Web應用程序中嵌入Laravel應用程序?
- 27. 如何限制每分鐘連接到我的Web應用程序?
- 28. 我們如何將本地創建的html5 web應用程序嵌入到android
- 29. 如何限制外部應用程序訪問我的Windows應用程序
- 30. 如何爲Web應用程序開發配置Subversion以限制開發人員訪問源代碼