我们的代码中有一个问题,以前的开发人员试图将预防性措施用于框架破坏(停止点击劫持),这是一个术语,我没有打开关于。无论如何,他们将以下代码放在我们所有的.aspx
页面的顶部,甚至不在其上面的head
元素内。框架破坏JavaScript代码 - 执行顺序
<script type="text/javascript">
if (self == top) {
var theBody = document.getElementsByTagName('body')[0]
theBody.style.display = "block"
} else {
top.location = self.location
}
因此很明显,它是安全的重要问题是,我们正在一个问题,因为上面theBody
是不确定的,因为身体标签尚未加载。因此,要停止js
代码中断,我们将上面的脚本剪切并粘贴到页面的底部。这是一种修复。我们只是想知道这种方法是否使代码的真正原因无效。任何人都可以给我一些建议吗?
谢谢MrCode。你知道如何执行'X-Frame-Options:DENY' – user3036965
你可以在你的Web.config中配置它,这里有一个例子:https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options#Configuring_IIS – MrCode
谢谢你在这里的所有建议。真的很有用的东西。全部解决。 – user3036965