これX-Frame-Options: DENYは、他の Web サイトが に自分自身を埋め込むのを防ぐハンマー方法でありiframe、「クリックジャッキング」として知られる攻撃を実行できなくします。
ただし、単に Web を殺すだけX-Frame-Optionsでなく、他のシナリオでは明らかに役に立ちません。
私が自分のサイトの iframe に信頼できないソースを埋め込んでいる場合はどうなりますか? そして、そのような信頼できないソースを 内に配置します。iframeそのような iframe は、自分の視覚要素に直接害を及ぼす可能性がありますか?
以下は、私が話していることの簡単な例です。
<!DOCTYPE html>
<title>blah</title>
<style type='text/css'>
body {
margin: 0;
}
header {
/* can example.com/untrusted break into this? */
z-index: 1;
position: absolute;
background-color: rgba(224, 224, 224, 0.8);
padding: 2em;
}
iframe {
/* out of this? */
position: absolute;
border: 0;
width: 100%;
height: 100%;
}
</style>
<body>
<header>
<a href="/trusted/confirm-purchase">buy this immediately!</a>
</header>
<iframe
src='http://example.com/untrusted'
width='800' height='480'
seamless='seamless'
>
</iframe>
</body>
それとも、 http://example.com/untrustedの運営者が私のページに成功した攻撃ベクトルを形成できますか? 探すものはありますか?