Iis 有没有办法建立iframe黑名单?
我注意到至少有一个网站在iframe中包含了我的网站,我很好奇如何最好地禁止这种行为 我已经包含了一些Javascript,如果一个站点正在构建我的框架,那么应该能够获取这些Javascript,这样我就可以生成一个我想要阻止的站点列表。然而,有些网站我不想禁止使用iframing 是否可以通过IIS(7)查看站点列表,如果请求来自该列表中的站点,是否会以某种方式失败或阻止请求 谢谢 使用HTTP头阻止任何人Iis 有没有办法建立iframe黑名单?,iis,iframe,clickjacking,Iis,Iframe,Clickjacking,我注意到至少有一个网站在iframe中包含了我的网站,我很好奇如何最好地禁止这种行为 我已经包含了一些Javascript,如果一个站点正在构建我的框架,那么应该能够获取这些Javascript,这样我就可以生成一个我想要阻止的站点列表。然而,有些网站我不想禁止使用iframing 是否可以通过IIS(7)查看站点列表,如果请求来自该列表中的站点,是否会以某种方式失败或阻止请求 谢谢 使用HTTP头阻止任何人访问您的站点。如果您希望能够您自己的站点,但阻止他人这样做,只需使用 X-Frame-O
X-Frame-Options:sameoriginAllow From将只允许一个URI,这意味着如果我使用Facebook URI,它将杀死我的图像上传程序,如果我使用Sameorigin,图像上传程序(以及我自己的任何iFrame)将工作,但它将杀死Facebook。你知道是否有任何形式的“允许来自”和“相同来源”的组合,以便它们都被强制执行吗 但是,您可以使用两个不同的URL来提供相同的内容:一个用于Facebook中的iframing(从发送
允许),另一个用于您自己的iFrame(发送sameorigin
)。不太好,但总比没有好 使用HTTP头阻止任何人
访问您的站点。如果您希望能够
您自己的站点,但阻止他人这样做,只需使用
X-Frame-Options:sameorigin
旁注:黑名单通常不利于安全。白名单是正确的方法
Allow From将只允许一个URI,这意味着如果我使用Facebook URI,它将杀死我的图像上传程序,如果我使用Sameorigin,图像上传程序(以及我自己的任何iFrame)将工作,但它将杀死Facebook。你知道是否有任何形式的“允许来自”和“相同来源”的组合,以便它们都被强制执行吗
但是,您可以使用两个不同的URL来提供相同的内容:一个用于Facebook中的iframing(从允许),另一个用于您自己的iFrame(发送sameorigin
)。不太好,但总比没有好 我已经尝试将X-Frame-Options设置为“deny”,但它会关闭所有iframe(这是预期的)。我有Facebook页面,我需要在我的网站上设置页面框架以保持可用。这个设置也会干扰我的图像上传程序脚本,它会执行一些奇怪的iframe操作。如果可能的话,这可能是一个更好的方法。好吧,那么使用allow-from:
。allow-from将只允许一个URI,这意味着如果我使用Facebook URI,它将杀死我的图像上传器,如果我在图像上传器(以及我自己的任何iFrame)中使用SameoRig,它将工作,但会杀死Facebook。你知道是否有任何形式的Allow From和Sameorigin的组合,以便它们都被强制执行吗?我认为鉴于当前规范,这是不可能的。但是,你可以使用两个不同的URL来提供相同的内容。一个用于Facebook中的iframing(从允许),另一个用于您自己的iFrame(发送sameorigin
)。不太好,但总比没有好。我尝试过将X-Frame选项设置为“deny”,但它会关闭所有iFrame(这是预期的)。我有Facebook页面,我需要在我的网站上设置页面框架以保持可用。这个设置也会干扰我的图像上传程序脚本,它会执行一些奇怪的iframe操作。如果可能的话,这可能是一个更好的方法。好吧,那么使用allow-from:
。allow-from将只允许一个URI,这意味着如果我使用Facebook URI,它将杀死我的图像上传器,如果我在图像上传器(以及我自己的任何iFrame)中使用SameoRig,它将工作,但会杀死Facebook。你知道是否有任何形式的Allow From和Sameorigin的组合,以便它们都被强制执行吗?我认为鉴于当前规范,这是不可能的。但是,你可以使用两个不同的URL来提供相同的内容。一个用于Facebook中的iframing(从允许),另一个用于您自己的iFrame(发送sameorigin
)。不太好,但总比没有好。