私はasp.net mvcのウェブサイトを開発しており、いくつかのセキュリティ機能を実装したいと思っています。その1つは、ウェブサイトがiframeに挿入されないようにすることです。私は、サーバー側の検証であるx-frame-optionsを使用してこれを行うことが可能だと読んだことがありますが、JSでクライアント側の検証を実装する必要があることも読んでいます。誰も私にそれを手伝ってもらえますか?どうもありがとう!!iframeでウェブサイトをインジェクションするのを防ぐ - サーバとクライアントのバリデーション
クライアント側のバリデーションは、破損しているJSを使用して行うことができます。 (すでに述べたように)、サーバー側の検証を実装するには、IISやアプリケーション(グローバルasaxファイル)のxフレームのオプションを設定する必要があります。
IIS:
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="DENY" />
</customHeaders>
</httpProtocol>
グローバルasax :私は同じproblを持って https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet
:
protected void Application_BeginRequest(object sender, EventArgs e)
{
HttpContext.Current.Response.AddHeader("x-frame-options", "DENY");
}
JSの破裂についての詳細情報については、このリンクを参照してください例えば、mozilla 3.0のような古い仲介者とのem。
これは役に立ちます!
まず、すべてのセキュリティチェックで、クライアント側を避けてください。あなたはクライアント側を行うこともできますが、その場合はクライアント側もエンドユーザが制御し、バイパスすることができるため、サーバ側も実装する必要があります。クライアント側はシンプルなjavascriptですhttps://stackoverflow.com/questions/7027799/access-elements-of-parent-window-from-iframe – bradbury9
はい、上記のように、私はすでにサーバー側と考えていましたが、クライアント側も必要です。いずれにせよ、私は以下の答えが役に立つと思う。 –
有望に見える、クライアント側の部分は私の前のコメントのリンクをチェックする – bradbury9