iframe 표시-XFS(Cross Frame Script) 방지

2015. 7. 27. 15:25plming/HTML-Web

iframe 을 사용해서 접속하지 못하도록 하기 위한 설정

모든 브라우저에서 되는 건 아니고, 일반적인 브라우저들(옛날 것X, 희안한 것X)에서는 되는 방법.

 

HttpServletResponse.setHeader( "X-Frame-Options", "SAMEORIGIN" );

 

일반적으로 iframe을 사용한 페이지와 동일한 orgin에 해당하는 frame만 표시하는

SAMEORIGIN 을 무난하게 사용

 

그 외에도 이런 값을 줄 수 있다.

DENY : frame으로 표시 불가

ALLOW-FROM uri : 페이지는 지정된 orgin에 해당하는 frame만 표시

 

X-Frame-Options Header를 가지는 경우

아래와 같이 표시된다. 

 

막무가내로 X 를 보여주기가 그시기 하다면

script로 무작정 정상화면을 표시하도록도 할 수 있다.

<script>
if( top != window ) {
 top.location = window.location;
}
</script> 

 

첫 번째 방법으로도 충분하지만

깔끔한(?) 진행(?)을 위해서

두 번째 방법도 함께 해주는 서비스를? ^^

 

 

'plming > HTML-Web' 카테고리의 다른 글

IE8 에서는 script의 .trim()은 안됩니다.  (0) 2016.01.27
보안컨텐츠만 표시됩니다 없애기  (0) 2015.08.13
JSTL IF, ELSE  (0) 2015.07.13
HTML Object Reference  (0) 2015.05.27
반응형 웹 입력폼 코딩  (0) 2015.05.25