HTTP响应头之X-Frame-Options, X-XSS-Protection

X-Frame-Options: DENY

由于在iframe.html中

<html>
    <head>
        <title>iframetitle>
        <meta charset="UTF-8">
        <meta name="viewport" content="width=device-width, initial-scale=1.0">
    head>
    <body>
        <iframe src="http://192.168.170.164/home.php">iframe>
    body>
html>

会加载home.php。于是当用户从index.php登录成功之后跳转到home.php之后，会显示登录成功的状态。这样就造成了CSRF漏洞。可能引起点击劫持攻击。
于是在home.php中加上一句。
即成为

session_start();
session_regenerate_id();

header("X-Frame-Options: DENY");

这样即便用户在原来的home.php中不退出，而另开一个iframe.html页面的时候，也会因为这句话生效，而加载不出来home.php了。
当用户从网页中退出互殴重新观察HTTP头信息得到如下头信息。
即，多了一个

X-Frame-Options: DENY

而重新加载iframe.html也将得不到任何显示的。

X-Frame-Options: sameorigin

然而存在需要使用iframe的情景。在此种情景下，可以使用sameorigin这个值。将之前的DENY换成sameorigin(大小写不敏感)。则可以成功加载。这种情况对同源(origin)是可以加载的。而对不同源则不能加载(具体不能加载的情况可以查看console)。

X-XSS-Protection

尝试在页面的搜索框插入js脚本。
http://192.168.170.164/home.php?search=%3Cscript%3Ealert%281%29%3C%2Fscript%3E&Search=Search
在Chrome上被拦截

而在Firefox上成功执行。
这是由于没有显式指定X-XSS-Protection头造成的不同浏览器的不同处理。

为了指定清楚，则在之前插入的相同的位置加入这样一句

header("X-XSS-Protection: 0"); //禁用XSS保护

即可禁用XSS保护，使得js代码得以执行。
或者

header("X-XSS-Protection: 1"); //开启XSS保护

即可开启XSS保护，禁止js代码执行，防止XSS。