我在另一个域上使用这样的简单页面测试clickjacking缓解:
我的登录页面发送以下标题:
HTTP/1.1 302 Found X-Frame-Options: SAMEORIGIN Location: https://my.domain/landing ...
我很惊讶地看到IE 10和Chrome 33都遵循重定向并在我的内部显示我的登录页面.我的登录页面没有发送
X-Frame-Options
,但我预计X-Frame-Options
登录页面上的第一个页面会优先于重定向.当我的登录页面显示在框架中时,如何防止浏览器跟踪重定向?
我应该补充说,如果登录页面没有发送HTTP重定向,那么事情按预期工作(空/阻止).