3

クリックジャッキングやその他の UI 修復攻撃に対するさまざまな防御手法を調べるテスト アプリケーションを作成しました。最もよく使用される手法の 1 つは、Frame-Busting コードに沿った X-Frames-Options です。私が理解できないのは、以下が推奨されない理由であり、OWASP によると: ( https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet ) は機能しません (私のテストでは機能しますが)アプリケーション、次が含まれている場合、ページをフレーム化できません)

 <meta http-equiv="X-Frame-Options" content="deny">

説明や回答へのリンクをいただければ幸いです。

どうやらこれは、情報がサブフレームでレンダリングされるまで META タグが受信されない可能性があるためです。これは Chrome や Firefox などのブラウザーでは引き続き機能しますが、IE では無視されます。

4

1 に答える 1

4

多くのリソース (URL だけでなく、このURL など) によると、<meta>タグは無視する必要があります。

お使いのブラウザがそうしないとしても、すべてのブラウザが同様にそうしないというわけではありません。安全のために、HTTP ヘッダーを指定する必要があります。

質問なぜそうですか?おそらく理由の 1 つは、次の使用を避けるように指示する理由と同じです。

<meta name="robots" content="noindex" />

私の意見では、このメタ タグを取得するには、ページ全体をダウンロードして解析する必要があるからです。HTTP ヘッダーを読み取るために、そうする必要はありません。

この場合、HTTP ヘッダーはブラウザーを高速化するためのより効率的な方法であるため、メタ タグを強制的に強制終了する理由になる可能性があります。

于 2015-05-07T13:40:16.690 に答える