What is it and why should I care?
X-Frame-Options(在草拟的标准中已经移除X-,只保留Frame-Options)是一个新技术用来指定网站页面是否允许嵌入IFrame页面。这样能够解决点击劫持(clickjacking)攻击。
此技术是基于每个页面的HTTP响应头特定参数实现的。支持(X-)Frame-Options头参数的浏览器根据标准会允许或禁用当前页面上的IFrame页面。
What shouldI do about it?
此方法同样也是一个低风险、同时能增加更多安全措施的方案。在某些情况下此方案会被限制不起作用,但是不会影响其他安全措施,这种方案只是一个附加的保护机制。
在页面上可以指定3中不同的IFrame页面嵌入规则。
方案1:DENY
此规则表示页面不能被嵌入页面,即使被嵌入的页面地址是同源的。如下是简单的代码片段:
HttpServletResponse response …;
response.addHeader(“X-Frame-OPTIONS”, “DENY”);
方案2:SAMEORIGIN
表示只允许嵌入同源的页面,代码如下:
HttpServletResponse response …;
response.addHeader(“X-Frame-OPTIONS”, “SAMEORIGIN”);
方案3:Allow-From
当前可以被嵌入指定域名的页面,例如:
HttpServletResponse response …;
Response.addHeader(“X-Frame-OPTIONS”, “Allow-Fromhttps://some.othersite.com”);
更多的帮助说明可以参考owasp的X-Frame-Options示例:J2EE filter https://www.owasp.org/index.php/ClickjackFilter_For_Java_EE#Source_Code
(X-)Frame-Options以极低的代价来保护你的用户,为网站添加一层保护措施来阻止点击劫持clickjacking。
Reference
———–
https://developer.mozilla.org/en/The_X-FRAME-OPTIONS_response_header
https://www.owasp.org/index.php/Clickjacking#Defending_with_response_headers
http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frameoptions.
aspx
http://blog.mozilla.com/security/2010/09/08/x-frame-options/
http://lcamtuf.blogspot.com/2011/12/x-frame-options-or-solving-wrong.html
http://www.jtmelton.com/2012/02/03/year-of-security-for-java-week-5-clickjacking-prevention/
http://tools.ietf.org/html/draft-gondrom-frame-options