Estoy usando este código. En la sección de encabezado de la página, esta regla de CSS:
html{display:none;}
Y luego este javascript:
if (self == top)
document.documentElement.style.display = 'block';
else
top.location = self.location;
¿Puedo considerarlo seguro contra el clickjacking desde dispositivos móviles?
Si no, ¿tengo que agregar otras protecciones como el encabezado X-Frame-Options u otros?
En mi opinión, no existe tal cosa como un script frame killer / buster, ya que JavaScript se puede desactivar en la etiqueta <iframe , haciendo que tu código sea inútil.
La mejor forma de proteger su aplicación de los ataques de clickjacking, para los navegadores modernos, es configurar su servidor web para enviar el X-Frame-Options en el encabezado de la respuesta.
Configurar esto es bastante fácil:
Apache
En httpd.conf add: Header always append X-Frame-Options SAMEORIGIN
Nginx
En nginx.conf add: add_header X-Frame-Options "SAMEORIGIN";
Lea otras preguntas en las etiquetas client-side clickjacking iframe