小小轰G
机箱微型固体颗粒清洁工程师
|
清华同方
古理线大法传人
获得徽章 0
赞了这篇沸点
之前知道iframe页面嵌入有安全限制,以为只是被嵌入方做限制,防止自己被其他网站使用。
今天爆出来才发现嵌入方也需做限制,防止嵌入其他站点的iframe。
问ai的:为什么需要 “双向限制”?
只限制 A 的frame-src:A 能确保自己不嵌恶意页面,但 B 仍可能被其他陌生站点嵌入(B 的安全无法保障);
只限制 B 的frame-ancestors:B 能防止被陌生站点嵌入,但 A 可能因漏洞被注入恶意 iframe(A 的用户体验受影响);
双向限制:A 主动控制嵌入范围,B 被动拒绝非法来源,形成安全闭环,同时保护双方的安全和利益。
今天爆出来才发现嵌入方也需做限制,防止嵌入其他站点的iframe。
问ai的:为什么需要 “双向限制”?
只限制 A 的frame-src:A 能确保自己不嵌恶意页面,但 B 仍可能被其他陌生站点嵌入(B 的安全无法保障);
只限制 B 的frame-ancestors:B 能防止被陌生站点嵌入,但 A 可能因漏洞被注入恶意 iframe(A 的用户体验受影响);
双向限制:A 主动控制嵌入范围,B 被动拒绝非法来源,形成安全闭环,同时保护双方的安全和利益。
展开
评论
1
![[吃瓜群众]](http://lf-web-assets.juejin.cn/obj/juejin-web/xitu_juejin_web/img/jj_emoji_10.42a731c.png)
赞了这篇沸点
juejin.cn![[呲牙]](http://lf-web-assets.juejin.cn/obj/juejin-web/xitu_juejin_web/img/jj_emoji_2.cd1e2bd.png)
有故人之资。
赞了这篇沸点
网络上有个梗 体育生开发 土木人点餐 计算机人接盘 以为只是个梗而已 但真的一件又一件的发生在我身边 我对象两个姐妹 一个和前任谈了快5年 另一个和前任谈了7年 谈了5年的分手没多久后相亲相了个程序员 武理毕业 月薪2万 武汉两套房 认识3个月就订婚了 彩礼18.8 钻戒1.8 五金 我问我对象 你姐妹告诉了这个男生 前面谈了一个快5年的前任嘛 我对象说女生没告诉 我听完真的很不舒服 我想起了研二时有被一个女生要过微信 然后那个女生说 谈过两个前任 一个4年 一个5年 我听完真的感到生理性不舒服 谈了5年 和二婚其实没啥区别了 是我思想太传统了嘛 男生条件这么好 凭什么 计算机老哥付出了这么多 得到的却是已经把最好的青春给了前任的女生 另一个和前任谈了7年的女生 我对象说现在接触的也是一个程序员 我真的是无语
展开
151
10