Mi sono imbattuto in questa tecnica e sono curioso di sapere se ci sono dei difetti in questo progetto. Un sito imposta l'intestazione di risposta X-Frame-Options
per negare solo se l'intestazione Referer
non è definita o non corrisponde al dominio del sito. Quando l'intestazione Referer
è impostata sul dominio corretto, X-Frame-Options
non è definito nella risposta.
C'è un difetto in questo? Credo che dipendere dall'intestazione Referer
non sia sufficiente per impedire il clickjacking, ma non riesco a pensare a un caso d'uso reale.