我们最近遇到了一个问题,其他网站在我们的网站集中运行我们的电子商务网站,我们的网站(违规者附加了ID)是单个全宽框架中唯一的内容.所以基本上它看起来和感觉就像我们的网站顶部的URL.我们可以切断他们的联盟会员身份,这会使他们没有意义,但这并不妨碍未来的犯罪者在我们发现之前做同样的事情.
有没有通用的方法(通过每个页面上出现的JavaScript?)来防止这种情况发生?请注意,向所有链接添加目标是不可行的,但是向所有页面添加JS片段是因为页眉和页脚部分是从单个源共享的.
另一种可能性是Apache级别(如果有任何我们可以做的服务器端),因为我们通过mod-rewrite传递所有请求.
解决方法
我相信实现这一目标的正确现代方法是
The X-Frame-Options response header.
来自MDN:
The X-Frame-Options HTTP response header can be used to indicate whether or not a browser should be allowed to render a page in a frame or iframe. Sites can use this to avoid clickjacking attacks,by ensuring that their content is not embedded into other sites.
