我有一个.Net Web应用程序,在其中我使用了一些iframe和框架集。为了保护我的网站免受跨帧脚本攻击,我计划在我的IIS或Global.asax中添加一个值为"SAMEORIGIN"的HTTP响应标头"X-Frame-Options"
http://blogs.microsoft.com/cybertrust/2009/02/05/clickjacking-defense-in-ie8/
但是,可能有一种情况,我实际上想在iframe内的特定页面上显示来自不同域的网页。那么,是否可以将"X-Frame-Options"标题"仅针对该页面"的设置覆盖为"ALLOW-FROM",并指定我想要允许的站点?如果是,我该怎么做?如果我覆盖此页面的设置,是否也会更改我的全局设置值?
您最好的选择可能是在每个页面上设置标题。您可以有一个母版页,所有其他页都从中继承,然后单个页可以覆盖母版页具有的标头属性。