0
これらのHTTPヘッダーは同じことをしているようですが、後者はもう少し柔軟性があります。X-Frame-OptionsとContent-Security-Policyヘッダーのセキュリティの違いは?
Content-Security-Policyが提供する追加のセキュリティはありますか?
A
答えて
2
X-FRAME-OPTIONSは、サイトを他のサイトに囲まれないように保護します。
たとえば、X-FRAME-OPTIONS:SAMEORIGINは、同じドメインのiframeにのみサイトを埋め込むことができます。 ClickJackingの攻撃を防止する必要があります。
しかし、コンテンツセキュリティポリシーはまったく異なる目的を持っています。
コンテンツセキュリティポリシーは、Webアプリケーションの作成者(またはサーバ管理者)は、アプリケーションがリソースをロードする予定で、そこからクライアントに通知することができます宣言型のポリシーです:CSPの仕様は、と言っています
だから、主な目的だのブラウザでは、未知のドメインからのリソース(スクリプトなど)をローダーに許可しないことによって、ユーザーのXSS攻撃からサイトを保護することです。
関連する問題
- 1. Google Apps Script - XFrameOptionsの統合
- 2. X-Forwarded-ForヘッダーとViaヘッダーの違い
- 3. ヘッダーのリダイレクトとセッションとセキュリティの維持
- 4. 春のセキュリティでWebExpressionVoterとAuthenticatedVoterの違い
- 5. セキュリティ - ウイルス対策とEDRの違い
- 6. 固定ヘッダーと固定ヘッダーの違いは何ですか?
- 7. Content-TypeとX-Content-Type-Optionsヘッダーのセキュリティ
- 8. WSセキュリティ機構の違い
- 9. SOAPセキュリティヘッダーとSOAPヘッダーの違い
- 10. 「生のHTTPヘッダー」とは何ですか? "HTTPヘッダー"と "生のHTTPヘッダー"の違いは何ですか?
- 11. ポイントツーポイントとエンドツーエンドのセキュリティの違いは何ですか?
- 12. HTTPヘッダーのConnectionとProxy-connectionの違いは何ですか?
- 13. HTML httpリクエストとXML httpリクエストのセキュリティ処理の違い
- 14. 'ヘッダー:{"Content-Type":XXX} "と" contentType:XXX "の違いは何ですか?
- 15. IMAPMessage.getUID()とMessage-IDヘッダーの違いは何ですか?
- 16. 実装のセキュリティの違いは同じエラーで終了する
- 17. 春のセキュリティは、ログインページのヘッダーのみを表示します
- 18. Ws-Security 1.1ヘッダーのセキュリティが理解されない
- 19. ipヘッダーのバージョンフィールドとイーサネットヘッダーのタイプフィールドの実際の違いは何ですか?
- 20. apache moduleとcgi(セキュリティに関する)の違いはありますか?
- 21. Visual Studioで "プリコンパイル済みヘッダーの作成"(/ Yc)と "プリコンパイル済みヘッダーの使用"(/ Yu)の違いは何ですか?
- 22. Apacheのヘッダー設定の "always"と "onsuccess"の違いは何ですか?
- 23. リダイレクト:ヘッダーとスクリプト - どのように違いますか?
- 24. Googleタグマネージャのセキュリティ違反ですか?
- 25. 春のセキュリティHTTPS間違ったポート
- 26. gzipヘッダー "1f8b0800000000000000"と "1f8b0800000000000003"の相違点と意味
- 27. セキュリティの観点から、非最終公開のパブリックインスタンスフィールドと最終的でないパブリックインスタンスフィールドの違いは?
- 28. Cで回避する基本的なセキュリティ上の間違い
- 29. 春のセキュリティですべてのリクエストにjwt authendicationヘッダーを追加するには?
- 30. X-Auth-TokenとAuthorizationヘッダーの違いは何ですか?好ましいものは
[CSP 2の 'frame-ancestors'](https://developer.mozilla.org/en-US/docs/Web/Security/CSP/CSP_policy_directives#frame-ancestors)は' X-FRAME-これはあまりにもフレーミングとクリックジャッキ攻撃を防ぎます。 – SilverlightFox
[CSP 2 spec](https://www.w3.org/TR/CSP2/#frame-ancestors-and-frame-options)は、実際にX-Frame-Optionsを非推奨にして置き換えることを明示しています。重複するだけではありません。 – anthonyryan1
@ant:実用的な意味では、ブラウザサポートが追いつくにつれてオーバーラップします。ユーザーベースが移行されるまで、古いブラウザーをサポートするためには両方とも必要になります。 – SilverlightFox