X-FRAME-OPTIONSを設定するには、サードパーティのフレームをロードする必要がありますか?
ヘッダーのセットX-Frame-OptionsをALLOW-FROMと同じOriginに設定しましたが、サードパーティのWebサイトのページの下に開く必要があります。ここにセキュリティの問題がありますか?
HTTP::header replace X-Frame-Options "SAMEORIGIN"
ドメインのホワイトリストを許可するALLOW-FROMディレクティブがありますが、これは 特定のブラウザでのみサポートされています です。
X-FRAME-OPTIONS(または新しいCSPの同等のフレーム祖先)を削除すると、サイトがクリックジャックや Cross Site History Manipulation などの他の攻撃に対して脆弱になる可能性があります。
クリックジャッキングは、本当にクリックする何かがある場合のリスクです。クリックが登録される前にユーザーが完了する必要がある他の入力がサイトにある場合、この脆弱性は悪用されません。ただし、サイトのすべての機能を確認しないと、これを判断するのは困難です。その後、サイトをさらに更新すると、知らないうちにこの脆弱性が悪用される可能性があります。多くの場合、ビジネス要件が確実にない限り、フレーミングを無効にした方が安全です。
From: X-Frame-Options応答ヘッダー :
[〜#〜] sameorigin [〜#〜]
The page can only be displayed in a frame on the same Origin as the page itself.
あなたはすでにこれを知っていますが、私の知る限り、これに関する脆弱性があったことをお知らせします。そうすることで、clickjacking を防止することにより、Webアプリケーションにセキュリティの層を追加しましたが、これでは不十分な場合があります。 X-Frame-Optionsはあなたが考えるより価値がありません 。