Security X-Frame-Options和内容安全策略头之间的安全性差异？_Security_Http_Http Headers_Content Security Policy_X Frame Options

Security X-Frame-Options和内容安全策略头之间的安全性差异？

security http

Security X-Frame-Options和内容安全策略头之间的安全性差异？,security,http,http-headers,content-security-policy,x-frame-options,Security,Http,Http Headers,Content Security Policy,X Frame Options,这些HTTP头似乎做了同样的事情，尽管后者有更多的灵活性内容安全策略是否提供了任何其他安全性？X-FRAME-OPTIONS允许您保护您的站点不被其他站点设置框架例如X-FRAME-OPTIONS:SAMEORIGIN将允许您的站点仅嵌入同一域中的iframe中。需要它来防止攻击但内容安全策略有着完全不同的目的。该规范规定：内容安全策略是一种声明性策略，它允许web应用程序的作者（或服务器管理员）通知客户端应用程序将从何处加载资源因此，它的主要目的是通过不允许浏览器加载资源（脚本等），

这些HTTP头似乎做了同样的事情，尽管后者有更多的灵活性

内容安全策略是否提供了任何其他安全性？

X-FRAME-OPTIONS允许您保护您的站点不被其他站点设置框架

例如

X-FRAME-OPTIONS:SAMEORIGIN

将允许您的站点仅嵌入同一域中的iframe中。需要它来防止攻击

但内容安全策略有着完全不同的目的。该规范规定：

内容安全策略是一种声明性策略，它允许web应用程序的作者（或服务器管理员）通知客户端应用程序将从何处加载资源

因此，它的主要目的是通过不允许浏览器加载资源（脚本等），保护您的站点免受用户的XSS攻击来自未知域。

与

X-FRAME-OPTIONS

有一些重叠，因为这也可以防止框架和点击劫持攻击。实际上明确声明它不推荐并替换X-FRAME-OPTIONS。不仅仅是重叠。@ant：在实际意义上，随着浏览器支持的发展，它也会重叠。在用户库迁移之前，您需要两者都支持旧浏览器。