이 제대로 작동합니다. http://www.facebook.com/ {페이지 id}? SK = messages_inbox & 조치 = 전 열면 소식/ http://www.facebook.com/ {페이지 id} iframe에 따라 그러나 & TID = % 7BmessageID % 7D 읽어/{postID} "X 프레임 옵션으로 금지 된 디스플레이"을 보여줍
내 웹 앱이 CSRF 토큰으로 CSRF 공격으로부터 보호되고 SSL을 사용하며 XSS 공격으로부터 보호된다고 가정합니다. 또한이 질문의 목적을 위해 최근 브라우저에서만 사용되었으며 버그가 없다고 가정합니다. X-Frame-Options : Deny 헤더를 사용하여 프레임 기반 클릭 재킹을 방지 할 수는 있지만, 프레임 기반 양식 제출에는 CSRF 토큰이 없
iframe에 내 웹 사이트를 포함하는 사이트가 하나 이상 있음을 발견했습니다. 이러한 유형의 동작을 허용하지 않는 가장 좋은 방법은 궁금합니다. 이미 차단하려는 사이트의 목록을 생성 할 수 있도록 사이트가 광산에서 프레임을 구성 할 수 있어야하는 몇 가지 자바 스크립트가 이미 포함되어 있습니다. 그러나 iframe을 허용하지 않으려는 사이트가 있습니다.
클릭 재킹 (Clickjacking)은 사람들이 속여서 사용자가 의도하지 않은 버튼을 클릭하여 악의적 인 행동을하도록 유도하는 행위입니다. 저는 상인을위한 옵션으로 지불을 위해 웹 사이트에 삽입 할 수있는 iFrame 구성 요소를 제공하는 제품을 개발 중입니다. 로그인 한 사용자는 중요한 동작을 수행하기 위해 클릭 할 수있는 iframe의 버튼을 볼 수 있