Wir hatten kürzlich ein Problem, wo andere Seiten unsere E-Commerce-Site in einem Frameset betreiben, wo unsere Seite (mit der Täter-Affiliate-ID angeheftet) der einzige Inhalt in einem einzigen Rahmen voller Breite ist. Im Wesentlichen sieht es so aus und fühlt sich an wie unsere Website mit ihrer URL an der Spitze. Wir können ihre Affiliate-ID abschneiden, was es für sie sinnlos machen würde, aber das hindert zukünftige Täter nicht daran, dasselbe zu tun, bis wir es herausfinden.Kann verhindert werden, dass unsere Website innerhalb des Frame-Sets oder IFrame einer anderen Domain läuft?
Gibt es einen allgemeinen Weg (durch JavaScript, das vielleicht auf jeder Seite erscheint?), Um dies zu verhindern? Beachten Sie, dass das Hinzufügen von Zielen zu allen Links nicht möglich ist, aber das Hinzufügen eines Snippets von JS zu allen Seiten ist, da die Kopf- und Fußzeilenabschnitte von einer einzigen Quelle aus verteilt sind.
Eine andere Möglichkeit wäre auf der Apache-Ebene (wenn es etwas gibt, was wir auf der Serverseite tun könnten), da wir alle Anfragen durch Mod-Rewrite übergeben.
Beachten Sie, dass es wichtig wäre, Seiten zu Schweller erlauben innerhalb eines IFrame zu laden, wenn die übergeordnete Seite aus unserer Domain stammt, wie wir es hier zu raten gültig Verwendung von IFrames
Okay. Ich habe bearbeitet. –
Dies ist die richtige Antwort für 2017. OWASP hat eine großartige [Clickjacking Defense Cheat Sheet] (https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet), die die Angriffs- und Sanierungsmöglichkeiten diskutiert. – thirdender
Ich habe die gewählte Antwort auf meine alte Frage aktualisiert, die die modernen Best Practices enthält – Peter