Closed batisteo closed 6 years ago
PS.org jam sendas tian kaplinion (X-Frame-Options: SAMEORIGIN
) danke al Dĵango kaj django.middleware.clickjacking.XFrameOptionsMiddleware
.
HTTP/1.1 200 OK
Server: nginx/1.10.3
Date: Tue, 18 Apr 2017 11:30:00 GMT
Content-Type: text/html; charset=utf-8
Connection: close
Vary: Accept-Encoding
X-Frame-Options: SAMEORIGIN
Vary: Cookie
Content-Length: 12914
Ho, prave.
Ĉu SAMEORIGIN
estas sufiĉe?
PS nuntempe ne uzas iun trans-kadran skriptadon laŭ mi, do ni povas altigi al DENY
. (Krom OSM, ankaŭ ne estas iuj kadroj en la retejo.) Je bezono en estonto ĉiam eblos reagordi al SAMEORIGIN
.
Ŝajnas sufiĉe bone tiel, kiel nun estas.
Alia ebla opcio:
SAMEORIGIN
.Gvidlinioj: https://wiki.mozilla.org/Security/Guidelines/Web_Security#X-Frame-Options