Achtung X-Frame-Options mit HTTP-Umleitung
Teste ich clickjacking-Minderung mit einer einfachen Seite wie diese auf einer anderen domain:
<iframe src="https://my.domain/login"></iframe>
Mein login-Seite sendet, die folgende überschriften:
HTTP/1.1 302 Found
X-Frame-Options: SAMEORIGIN
Location: https://my.domain/landing
...
Ich bin überrascht zu sehen, IE 10 und Chrome 33 Folgen Sie der Umleitung und meine landing page innerhalb der <iframe>
. Meine landing-page nicht senden X-Frame-Options
, aber ich erwartete die ersten X-Frame-Options
auf der login-Seite von trump die Weiterleitung. Wie kann ich verhindern, dass Browser von der Umleitung zu Folgen, wenn ich meine login-Seite angezeigt, in einem Rahmen?
Sollte ich hinzufügen, dass Dinge so funktionieren, wie erwartet (<iframe>
ist leer/gesperrt ist), wenn die login-Seite nicht senden Sie eine HTTP-Umleitung.
InformationsquelleAutor quietmint | 2014-02-27
Schreibe einen Kommentar Antworten abbrechen
Du musst angemeldet sein, um einen Kommentar abzugeben.
Aus der verwendeten Terminologie in der RFC-7034, schließe ich, dass der Browser nicht für X-Frame-Optionen " Einschränkungen für die HTTP-Umleitungen (status-codes 301, 302 usw), sondern eher für eine Reaktion, wo der browser verarbeitet die Inhalte, z.B.:
oder:
Als alternative für die login-Seite, die Sie zurückgeben könnte, ein HTTP-status-code 200 und ein meta-tag oder javascript für die Weiterleitung, die X-Frame-Option wird dann angewendet, aber ich muss zugeben, dass es hässlich ist.