¿Es el Framekiller realmente seguro contra clickjacking?

2

Estoy usando este código. En la sección de encabezado de la página, esta regla de CSS:

html{display:none;}

Y luego este javascript:

if (self == top)
  document.documentElement.style.display = 'block';
else
  top.location = self.location;

¿Puedo considerarlo seguro contra el clickjacking desde dispositivos móviles?
Si no, ¿tengo que agregar otras protecciones como el encabezado X-Frame-Options u otros?

    
pregunta user1014351 31.12.2015 - 13:53
fuente

1 respuesta

6

En mi opinión, no existe tal cosa como un script frame killer / buster, ya que JavaScript se puede desactivar en la etiqueta <iframe , haciendo que tu código sea inútil.

La mejor forma de proteger su aplicación de los ataques de clickjacking, para los navegadores modernos, es configurar su servidor web para enviar el X-Frame-Options en el encabezado de la respuesta.

Configurar esto es bastante fácil:

Apache En httpd.conf add: Header always append X-Frame-Options SAMEORIGIN

Nginx En nginx.conf add: add_header X-Frame-Options "SAMEORIGIN";

    
respondido por el Jeroen - IT Nerdbox 31.12.2015 - 18:08
fuente

Lea otras preguntas en las etiquetas