似乎设置X-Frame-Options to deny是阻止我的网站被Iframed的最推荐的方法。但它并不完美。首先关闭X-Frame-Options可以使用Chrome扩展程序忽略,如下文所述。我通过使用Ignore X-Frame标头chrome扩展证明了这种情况。
Getting around X-Frame-Options DENY in a Chrome extension?
其次,X-Frame-Options拒绝仅适用于网页的第一个iframe,如果我iframe网页是第二个iframe的两倍。
我的问题是,阻止我的网站被欺骗的最佳多管齐下方法是什么?
X-Frame-Options只是一个响应头。当然,如果你控制客户端,你可以忽略它。如果您控制客户端,您几乎可以做任何事情。
X-Frame-Options中的要点是防止像Clickjacking(主要)或Pixel Perfect Timing Attacks这样的攻击。它确实可以防止这些攻击,因为攻击者无法控制受害者的浏览器来安装扩展程序(或者如果可以的话,从受害者的角度来看,Clickjacking是最少的问题:))。