Non riesco a trovare la domanda correlata in cui ho trovato questo link, ma qui c'è un articolo su FrameBusting e su come dovresti implementarlo
Scritto da Gustav Rydstedt, Elie Bursztein e Dan Boneh della Stanford University con la collaborazione di Collin Jackson della Carnegie Mellon University
Questa è la raccomandazione cartacea:
<style>
body {display: none; }
</style>
<script>
if (self === top) {
document.getElementsByTagName("body")[0].style.display = 'block';
} else {
top.location = self.location
}
</script>
Notare display: none
, questo è super importante, perché l'attaccante può semplicemente disabilitare javascript su parte della pagina. Vedi la carta per maggiori informazioni.