Opciones de X-Frame: PERMITEN DESDE en firefox y chrome

Question

May 18, 2012, 09:09 PM

google-chrome firefox clickjacking x-frame-options

Opciones de X-Frame: PERMITEN DESDE en firefox y chrome

Estoy implementando un "paso" paraX-Frame-Options para permitir que un sitio asociado envuelva el sitio de mi empleador en un iframe, según este artículo:http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx

(dividiendo URLS para publicar)

En pocas palabras, la página de nuestro socio tiene un iframe con una URL en contra de nuestro dominio. Para cualquier página en nuestro dominio, agregarán un argumento de URL especial como&@mykey=topleveldomain.com, diciéndonos cuál es el dominio de nivel superior de la página.

Nuestros filtros recogen el TLD asociado, si se proporciona, de la URL y lo validan en una lista blanca. Si está en la lista, enviamos elX-Frame-Options encabezado con valorALLOW-FROM topleveldomain.com (y añadir una cookie para futuros clics). Si no está en nuestra lista blanca, enviamosSAMEORIGIN oDENY.

El problema es que parece que el envíoALLOW-FROM domain los resultados en un no-op general para los últimos Firefox y Google Chrome. IE8, al menos, parece estar implementando correctamenteALLOW-FROM.

Echa un vistazo a esta página:http://www.enhanceie.com/test/clickjack. Justo después de la quinta (de 5) casillas que "debería mostrar contenido", es una casilla que NO debe mostrar contenido, pero sí lo es. En este caso, la página en el iframe está enviando.X-Frame-Options: ALLOW-FROM http://www.debugtheweb.com, un TLD decididamente diferente dehttp://www.enhanceie.com. Sin embargo, el marco todavía muestra contenido.

Cualquier idea de siX-Frame-Options es verdaderamente implementado conALLOW-FROM ¿A través de navegadores relevantes (de escritorio)? Tal vez la sintaxis ha cambiado?

Algunos enlaces de interés:

Proyecto rfc en x-frame-options:http://tools.ietf.org/html/draft-gondrom-frame-options-01Artículo de developer.mozilla que discute el encabezado como un encabezado de 2 opciones (sameorigin o deny).https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Optionsmsdn blog que inició todo el asunto:http://blogs.msdn.com/b/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspxEl blog msdn que habla de 3 valores: agregar el origen de permiso de origenhttp://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx