网站扫描安全厂商,为了增加检出量,为了显得其扫描工具有多棒,往往会把一些并不是安全问题的事情放大,吹毛求疵。
比如,某安全厂商会认为,如果你的网站能被别人用 iframe 引用,则是不安全的。真的不安全?要知道,就连国务院、公安部的网站都可以用 iframe 引用啊。
如果真要关闭 iframe 引用,可以发送一个 HTTP 头,浏览器识别到后,就不会去加载了。
.NET 的话很简单,在 web.config 中配置 X-Frame-Options 即可,如下:
当然,如果浏览器不支持的话,也是孤芳自赏。
