Che cosa succede se il browser non supporta X-FRAME-OPTIONS?
Rende l'uri referenziato dall'iframe OPPURE non rende nulla in questo caso?
Un browser che supporta i frame ma non l'intestazione X-Frame-Options
(o le politiche CSP corrispondenti) renderà semplicemente qualsiasi contenuto di frame, indipendentemente dall'origine. Non può implementare un meccanismo di sicurezza di cui non è a conoscenza.
X-Frame-Options
è stato implementato dalla maggior parte dei browser principali nel 2010 (e solo successivamente specificato in RFC 7034 nell'anno 2013) - in quel momento, i fotogrammi sono già stati a lungo in giro. L'introduzione dell'intestazione è stata una reazione al problema clickjacking che è sorto a causa dell'incorporazione del telaio di origine incrociata che non è stato possibile risolvere completamente con tecniche framebusting .
Leggi altre domande sui tag authentication iframe