これらのHTTPヘッダーは同じことをしているようですが、後者はもう少し柔軟性があります。X-Frame-OptionsとContent-Security-Policyヘッダーのセキュリティの違いは?
Content-Security-Policyが提供する追加のセキュリティはありますか?
これらのHTTPヘッダーは同じことをしているようですが、後者はもう少し柔軟性があります。X-Frame-OptionsとContent-Security-Policyヘッダーのセキュリティの違いは?
Content-Security-Policyが提供する追加のセキュリティはありますか?
X-FRAME-OPTIONSは、サイトを他のサイトに囲まれないように保護します。
たとえば、X-FRAME-OPTIONS:SAMEORIGIN
は、同じドメインのiframeにのみサイトを埋め込むことができます。 ClickJackingの攻撃を防止する必要があります。
しかし、コンテンツセキュリティポリシーはまったく異なる目的を持っています。
コンテンツセキュリティポリシーは、Webアプリケーションの作成者(またはサーバ管理者)は、アプリケーションがリソースをロードする予定で、そこからクライアントに通知することができます宣言型のポリシーです:CSPの仕様は、と言っています
だから、主な目的だのブラウザでは、未知のドメインからのリソース(スクリプトなど)をローダーに許可しないことによって、ユーザーのXSS攻撃からサイトを保護することです。
[CSP 2の 'frame-ancestors'](https://developer.mozilla.org/en-US/docs/Web/Security/CSP/CSP_policy_directives#frame-ancestors)は' X-FRAME-これはあまりにもフレーミングとクリックジャッキ攻撃を防ぎます。 – SilverlightFox
[CSP 2 spec](https://www.w3.org/TR/CSP2/#frame-ancestors-and-frame-options)は、実際にX-Frame-Optionsを非推奨にして置き換えることを明示しています。重複するだけではありません。 – anthonyryan1
@ant:実用的な意味では、ブラウザサポートが追いつくにつれてオーバーラップします。ユーザーベースが移行されるまで、古いブラウザーをサポートするためには両方とも必要になります。 – SilverlightFox