상황 : 신뢰할 수있는 사이트에서 iframe을 허용하려는 위젯이 있습니다. 잠재적 인 Clickjacking 공격을 완화하기 위해 위젯이 도메인 허용 목록에 대해로드 될 때 리퍼러를 확인하려고합니다. 일치 = 위젯이 사용 중지되었습니다.document.referrer가 위조 될 수 있습니까?
나는 Flash를 사용하여 Referer 헤더로 임의의 HTTP 요청을 보낼 수 있음을 알고 있습니다. document.referrer도 유사하게 취약합니까?
참고 : 사용자가 설정을 변경할 수 있고 다른 상황으로 인해 document.referrer가 비어있을 수 있음을 알고 있습니다. 괜찮습니다. 항상 작동하는 위젯은 웹 사이트를 포함하는 웹 사이트가 신뢰할 수없는 경우 작동하지 않는 것보다 중요하지 않습니다.
수정 : ALL-FROM이 Chrome 또는 Safari에 구현되어 있지 않으므로 X-Frame-Options가 작동하지 않습니다. 제 3 자 도메인을 지원할 수 있어야합니다.
훨씬 더 좋은 방법이 있습니다. 'x-frame-options' 헤더를 사용하십시오. – meagar
서버가 Referer 헤더 또는 Origin 헤더를 확인하고이를 기반으로 X-Frame-Options를 설정 했어도 괜찮습니까? – guest
@guest 그것은 좋은 질문입니다. 플래시 취약점이 위조 된 헤더가있는 iframe의 콘텐츠로드까지 확장되는지는 분명하지 않습니다. – noah