Encontré esta técnica y tengo curiosidad por si hay algún defecto en este diseño. Un sitio establece el encabezado de respuesta X-Frame-Options
para negar solo si el encabezado Referer
no está definido o no coincide con el dominio del sitio. Cuando el encabezado Referer
se establece en el dominio correcto, el X-Frame-Options
no se define en la respuesta.
¿Hay algún defecto en esto? Siento que depender del encabezado Referer
no es suficiente para evitar el clickjacking, pero no puedo pensar en un caso de uso del mundo real.