Чтобы предотвратить кликджекинг на вашем веб-сайте, я заметил несколько различных методов. Некоторые используют javascript, чтобы ваш веб-сайт вышел из iframe, другое решение - установить для заголовка X-FRAME-OPTIONS значение DENY или SAMEORIGIN. Какой из двух упомянутых мной методов, по вашему мнению, более безопасен? Вот образец страницы, которую я использую для тестирования кликджекинга.
<HTML>
<BODY>
<H1>Clickjacking Test</H1>
<IFRAME SRC="http://www.google.com/" HEIGHT="500" WIDTH="500"></IFRAME>
</BODY>
</HTML>
С кодом прерывания iframe вы увидите, что Firefox и Safari будут медленно выходить из Iframe, что означает, что вы увидите тест Clickjacking, а затем он выйдет из этого iframe и покажет исходный веб-сайт. С IE и Chrome это быстро, что незаметно. Но с решением X-Frame-Optiions вы просто не видите свой веб-сайт. Он будет заблокирован. Как и в случае с Google в приведенном выше примере. Итак, мои вопросы: какое из решений лучше? Полная блокировка или выход из iframe (медленно в 2 браузерах)