情況:我們有一個小部件,我們希望允許在可信站點上使用iframed。爲了緩解潛在的點擊劫持攻擊,我們希望在小部件加載域名白名單時檢查引薦來源。不匹配=小部件禁用。可以僞造document.referrer嗎?
我知道使用Flash你可以用任何Referer頭髮送任意的HTTP請求。 document.referrer同樣容易受到攻擊嗎?
注:我知道用戶可以更改設置和其他情況可以使document.referrer爲空。沒事兒。小部件總是工作並不重要,因爲如果網站嵌入它不受信任,它就不起作用。
編輯:此時X-Frame-Options不起作用,因爲ALLOW-FROM沒有在Chrome或Safari中實現。我需要能夠支持第三方域名。
有很多更好的方法。使用'x-frame-options'標題。 – meagar
如果你有服務器檢查Referer頭部,或者Origin頭部,並且基於它設置X-Frame-Options,會不會好? – guest
@這是一個很好的問題。我不清楚Flash漏洞是否延伸到用僞造標題加載iframe中的內容。 – noah