フレームキラーはクリックジャックに対して本当に安全ですか？

Question

このコードを使用しています。ページのヘッダーセクションでは、このCSSルールは次のとおりです。

html{display:none;}

そして、このjavascript：

if (self == top) document.documentElement.style.display = 'block'; else top.location = self.location;

モバイルデバイスからのクリックジャッキングに対して安全と見なすことはできますか？
そうでない場合、X-Frame-Optionsヘッダーなどの保護を追加する必要がありますか？

Jeroen · Answer

私の意見では、JavaScriptを<iframeタグで無効にしてコードを役に立たなくすることができるので、フレームキラー/バスタースクリプトなどはありません。

最新のブラウザの場合、アプリケーションをクリックジャッキング攻撃から保護する最良の方法は、応答ヘッダーでX-Frame-Optionsを送信するようにWebサーバーを構成することです。

これの設定はとても簡単です：

Apache httpd.confに追加：Header always append X-Frame-Options SAMEORIGIN

Nginx nginx.confに追加：add_header X-Frame-Options "SAMEORIGIN";