Achtung X-Frame-Options mit HTTP-Umleitung

Teste ich clickjacking-Minderung mit einer einfachen Seite wie diese auf einer anderen domain:

<iframe src="https://my.domain/login"></iframe>

Mein login-Seite sendet, die folgende überschriften:

HTTP/1.1 302 Found
X-Frame-Options: SAMEORIGIN
Location: https://my.domain/landing
...

Ich bin überrascht zu sehen, IE 10 und Chrome 33 Folgen Sie der Umleitung und meine landing page innerhalb der <iframe>. Meine landing-page nicht senden X-Frame-Options, aber ich erwartete die ersten X-Frame-Options auf der login-Seite von trump die Weiterleitung. Wie kann ich verhindern, dass Browser von der Umleitung zu Folgen, wenn ich meine login-Seite angezeigt, in einem Rahmen?

Sollte ich hinzufügen, dass Dinge so funktionieren, wie erwartet (<iframe> ist leer/gesperrt ist), wenn die login-Seite nicht senden Sie eine HTTP-Umleitung.

InformationsquelleAutor quietmint | 2014-02-27
  1. 8

    Aus der verwendeten Terminologie in der RFC-7034, schließe ich, dass der Browser nicht für X-Frame-Optionen " Einschränkungen für die HTTP-Umleitungen (status-codes 301, 302 usw), sondern eher für eine Reaktion, wo der browser verarbeitet die Inhalte, z.B.:

    Den Einsatz von "X-Frame-Options" ermöglicht es, eine web-Seite von host B zu
    erklären, dass seine Inhalte (zum Beispiel, Knopf, links, text, etc.)
    muss nicht sein, angezeigt in einem Rahmen (<frame> oder <iframe>) von anderen
    Seite (z.B. von host A). Dies geschieht durch eine Politik deklariert
    HTTP-header und durchgesetzt werden, die von browser-Implementierungen, wie dokumentiert
    hier.

    oder:

    Den X-Frame-Options-HTTP-header-Feld zeigt an, dass eine Politik, die
    gibt an, ob der browser sollte Rendern der übermittelten Ressource
    innerhalb einer <frame> oder eine <iframe>. Server können erklären, dass diese Politik in
    der header der HTTP-Antworten zu verhindern, dass clickjacking-Angriffe,
    die sorgt dafür, dass Ihr Inhalt ist nicht eingebettet in anderen Seiten oder
    frames.

    Als alternative für die login-Seite, die Sie zurückgeben könnte, ein HTTP-status-code 200 und ein meta-tag oder javascript für die Weiterleitung, die X-Frame-Option wird dann angewendet, aber ich muss zugeben, dass es hässlich ist.

    InformationsquelleAutor antoinet
Schreibe einen Kommentar