X-Frame-Options ClickJacking

최신 브라우저에서 지원되지 않는 경우 거의 없음. 대부분의 브라우저에서는 X-Frame-Options 헤더가 제대로 작동

 

X-Frame-Options는 이미 거의 모든 최신 브라우저에서 지원한다고 했는데 그럼 별로의 헤더 설정 안해도돼?

맞아요! 최신 브라우저만 사용하는 환경이라면, X-Frame-Options를 설정할 필요는 없을 수 있습니다. 이유는:

1. 최신 브라우저의 지원: 최신 브라우저(Chrome, Firefox, Edge 등)는 CSP의 frame-ancestors 디렉티브를 통해 Clickjacking을 방어할 수 있기 때문에, 별도로 X-Frame-Options 헤더를 설정할 필요가 없습니다.
2. CSP의 frame-ancestors 디렉티브: 이 디렉티브는 X-Frame-Options보다 더 유연하고 강력하게 Clickjacking 방어를 할 수 있습니다. 최신 브라우저에서는 이 기능을 지원하고, 이 설정만으로 frame embedding을 관리할 수 있기 때문입니다.

 

내부망 서비스이며, 내부망에서 최신 브라우저만 사용 가능, 해당 기능 최신 브라우저에서 지원되고 있어 X-Frame-Options 헤더 설정 불필요함