یکی از توصیه های OWASP ، تنظیم هدر X-Frame-Options است که اجازه می دهد تا صفحات ما در Iframes بارگذاری شوند فقط توسط همینورژین.

یکی از دلایل این است که به دلیل حملات فیشینگ ، خوب می دانم. اما اگر من یک مهاجم بودم و هدف من پیکربندی شده بود که X-Frame-Options را روی همینورژین تنظیم کنم ، می توانم فقط طرح صفحه هدف (html ، css ، js و غیره) را کپی کرده و در سایت خود قرار دهم.

دلیل دیگر ما باید این هدر را تنظیم کنید؟