iframe 표시-XFS(Cross Frame Script) 방지

iframe 을 사용해서 접속하지 못하도록 하기 위한 설정

모든 브라우저에서 되는 건 아니고, 일반적인 브라우저들(옛날 것X, 희안한 것X)에서는 되는 방법.

 

HttpServletResponse.setHeader( "X-Frame-Options", "SAMEORIGIN" );

 

일반적으로 iframe을 사용한 페이지와 동일한 orgin에 해당하는 frame만 표시하는

SAMEORIGIN 을 무난하게 사용

 

그 외에도 이런 값을 줄 수 있다.

DENY : frame으로 표시 불가

ALLOW-FROM uri : 페이지는 지정된 orgin에 해당하는 frame만 표시

 

X-Frame-Options Header를 가지는 경우

아래와 같이 표시된다. 

 

막무가내로 X 를 보여주기가 그시기 하다면

script로 무작정 정상화면을 표시하도록도 할 수 있다.

<script> if( top != window ) {  top.location = window.location; } </script>

 

첫 번째 방법으로도 충분하지만

깔끔한(?) 진행(?)을 위해서

두 번째 방법도 함께 해주는 서비스를? ^^