Opcje X-Frame: Zezwalaj na firefox i chrome
Wdrażam „pass-through” dlaX-Frame-Options aby pozwolić stronie partnerskiej zawinąć witrynę mojego pracodawcy w iframe, zgodnie z tym artykułem:http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx
(dzielenie adresów URL na post)
W skrócie, strona naszego partnera ma ramkę iframe z adresem URL do naszej domeny. Dla każdej strony w naszej domenie dodają specjalny argument url, taki jak&@mykey=topleveldomain.com, informując nas, czym jest domena najwyższego poziomu strony.
Nasze filtry pobierają partnerską TLD, jeśli jest dostępna, z adresu URL i sprawdzają ją na białej liście. Jeśli jest na liście, wysyłamyX-Frame-Options nagłówek z wartościąALLOW-FROM topleveldomain.com (i dodaj plik cookie dla przyszłych kliknięć). Jeśli nie jest na naszej białej liście, wysyłamySAMEORIGIN lubDENY.
Problem polega na tym, że wygląda na wysyłanieALLOW-FROM domain skutkuje ogólną not-op dla najnowszych Firefox i Google Chrome. Wydaje się, że IE8 prawidłowo implementujeALLOW-FROM.
Sprawdź tę stronę:http://www.enhanceie.com/test/clickjack. Zaraz po 5 (z 5) polach, które „powinny wyświetlać zawartość”, jest to pole, które NIE powinno pokazywać treści, ale które jest. W takim przypadku strona w ramce iframe jest wysyłanaX-Frame-Options: ALLOW-FROM http://www.debugtheweb.com, zdecydowanie inna TLD niżhttp://www.enhanceie.com. Jednak ramka nadal wyświetla zawartość.
Każdy wgląd w to, czyX-Frame-Options jest naprawdę zaimplementowanyALLOW-FROM w odpowiednich przeglądarkach (komputerowych)? Być może zmieniła się składnia?
Niektóre interesujące linki:
Wersja robocza rfc na opcjach x-frame:http://tools.ietf.org/html/draft-gondrom-frame-options-01Artykuł developer.mozilla omawiający nagłówek jako nagłówek z 2 opcjami (ten sam nagłówek lub odmowa).https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Optionsblog msdn, który zainicjował całą sprawę:http://blogs.msdn.com/b/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspxmsdn blog, który mówi o 3 wartościach: dodawanie zezwól na pochodzeniehttp://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx