其他分享
首页 > 其他分享> > 自定义网站上的Android Iframe SameOrigin

自定义网站上的Android Iframe SameOrigin

作者:互联网

我们有一个Android应用程序,它将我们的网站iframe到他们的应用程序中.但是为了防止点击劫持,我们在代理配置中有以下指令.

标题附加X-FRAME-OPTIONS“SAMEORIGIN”

这是一种非常常见的跨源资源共享策略.

不幸的是,Android浏览器中的Webview的原点是file://,它与我们使用的域不同.这导致错误拒绝显示设置为sameorigin的x-frame-options.

什么策略(在代理或客户端)我可以使用允许Android应用程序与我们的网站进行交互(没有完全删除sameorigin)?

解决方法:

不要以为你能做到这一点.由于Chromium没有将Allow-From视为功能[1],因此Android在很大程度上依赖于Chromium的WebViews框架.

我猜你的要求是阻止基于浏览器的点击插件?

由于您无法使用Allow-From.您可能想要考虑一种类似于BlackHat谈话[2],UI设备上的UI Redressing Attacks中概述的方法.我建议阅读整个pdf非常有趣的东西.

查看第5章缓解技术,第1节基于浏览器的UI纠正.

<styleid=”antiClickjack”>
    body{display:none!important;}
</style>
<scripttype=”text/javascript”>
    if(self===top){
        varantiClickjack=document.
        getElementById(”antiClickjack”);
        antiClickjack.parentNode.removeChild(antiClickjack);
    }else{
        top.location=self.location;
    }
</script>

[1] https://code.google.com/p/chromium/issues/detail?id=129139#c20
[2] https://media.blackhat.com/ad-12/Niemietz/bh-ad-12-androidmarcus_niemietz-WP.pdf

标签:apache,android,cors,same-origin-policy,httpd-conf
来源: https://codeday.me/bug/20190523/1156686.html