http://mdsec.net/auth/406/
目前,业界普遍认为,虽然一些类型的“破坏框架”代码可以在一定程度上阻止UI伪装攻击,但绝不能将这种技术作为防范UI伪装攻击的万全之策。
要防止攻击者将应用程序页面嵌入框架,一种更加可靠的方法是使用X-Frame-Options响应消息头。该消息头由Internet Explorer 8引入,随后,许多其他流行的浏览器也开始采用这种方法。X-Frame-Options消息头可以接受两个值。值deny指示浏览器防止页面被嵌入框架,值sameorigin指示浏览器防止第三方域执行“嵌入框架”操作。
提示
在分析应用程序采用的任何反嵌入框架防御时,应始终检查适用于移动设备的界面的任何相关版本。例如,虽然wahh-app.com/chat/能够可靠地防范嵌入框架攻击,但wahh-app.com/mobile/chat/可能并不提供此类防御。在设计反嵌入框架防御时,应用程序开发者通常会忽略用户界面的移动版本,这可能是因为他们认为UI伪装攻击无法在移动设备上实施。但是,许多情况下,在使用标准(非移动)浏览器访问时,移动版本的应用程序仍然能够正常运行,并且用户会话可以在移动和非移动版本的应用程序之间共享。