X-Frame-Options最佳實踐

X-Frame-Options

通常在做iframe嵌入都會為了避免Clickjacking攻擊
而在header加上X-Frame-Options
而往往最基本的防護就是在所有的header上
加上X-Frame-Options SAMEORIGIN
但是若要靈活的使用就不容易了
例如:
若在想要的subdomain下允許嵌入
亦或是在不同的domain下允許嵌入
最終目的就是希望達到可以再任意想要的domain下允許嵌入
在此把我個人的見解以及觀念跟大家分享
(實際實作要看所使用的語言而定)

更多...