我工作的應用程序中,用戶可以通過將其加載到iframe中將其網站嵌入到周圍內容中。這顯然依賴於未在用戶網站上設置的X-Frame-Options來工作。我被客戶要求創建一個反向代理,因爲他們不想爲了安全考慮從他們的站點中刪除X-Frame-Options頭。X-Frame-Options標題有什麼意義?
我設置了代理,一切正常,但是如果X-Frame-Options頭像創建代理一樣簡單,那麼X-Frame-Options頭又有什麼意義呢?
我知道標題存在,以防止點擊劫持,但如果任何人都可以做一個代理來解決它......它真的增加了安全性嗎?
我不是來自企業開發世界,你能幫我理解IT部門爲什麼會抵制刪除標題的原因嗎?
我注意到google.com和facebook.com也設置了標題,所以它不可能完全沒有意義嗎?
感謝