logo标签列表

X-Frame-Options 和 Content-Security-Policy 头部之间的安全差异是什么?

securityhttphttp-headerscontent-security-policyx-frame-options
7
这些HTTP头似乎具有相同的功能,尽管后者具有更多的灵活性。Content-Security-Policy提供了额外的安全性吗?
1个回答
9

X-FRAME-OPTIONS 允许您保护您的网站免受其他网站的框架嵌入。

例如,X-FRAME-OPTIONS: SAMEORIGIN 只允许在相同域上的 iframe 中嵌入您的网站。这是为了防止点击劫持攻击

但是,Content-Security-Policy 的目的完全不同。 CSP 规范指出:

内容安全策略是一种声明式策略,它使 Web 应用程序的作者(或服务器管理员)可以向客户端通知应用程序期望从中加载资源的源。

因此,它的主要目的是通过不允许浏览器从未知域加载资源(脚本等),来保护您的网站免受 XSS 攻击对用户的危害。

10
CSP 2的 frame-ancestorsX-FRAME-OPTIONS 有一些重叠,因为它们都可以防止框架注入攻击和点击劫持攻击。 - SilverlightFox
6
CSP 2规范明确说明它弃用并取代了X-Frame-Options,而不仅仅是重叠。 - anthonyryan1
1
@ant:从实际角度来看,随着浏览器的支持不断更新,两者确实有重叠之处。在您的用户群迁移之前,您需要同时支持旧浏览器。 - SilverlightFox
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接