OWASP有一个页面,他们建议使用x帧选项和帧选项来防止点击劫持。后者被定义为几年前的草案,但我找不到关于该草案的任何执行情况或接受的信息。它是否被接受,是否计划,或者换句话说,它的状态是什么,我们应该添加它还是现在只使用 x-frame 选项。
Frame-Options不是标准的。
新标准将使用CSP的frame-ancestors指令。
帧祖先指令指定可以嵌入的有效父项 使用
<frame>和<iframe>元素的页面。此指令不是 在元素中或由 "内容安全策略仅报告"标头字段。
由于这是一个新标准(请参阅此处的浏览器支持),因此建议您同时使用X-Frame-Options同时您的平台支持的所有浏览器要么赶上要么失败。
建议服务器使用 X-Frame-Options 标头进行响应,无论草稿是否已获得批准。我从Acunetix漏洞描述中提取了以下内容:
点击劫持(用户界面纠正攻击、UI 纠正攻击、UI 纠正)是一种恶意技术,诱骗 Web 用户点击与用户认为他们正在点击的内容不同的内容,从而在点击看似无害的网页时可能泄露机密信息或控制他们的计算机。
我的印象是草案不是标准化的(至少在撰写本文时),因为X-Frame-Options通过不同的浏览器以不同的方式实现,导致意想不到的结果和行为——然而,这只是我的猜测,可能是出于完全不同的原因。