امنیت بیشتر با هدرهای مایکروسافتی؟!!!
یک سری هدر را مایکروسافت برای سمت سرور تعریف کرده که با استفاده از آنها می توانیم مشکلات امنیتی در بازی مثل Clickjacking را کمتر کنیم
تو این هدر ها مواردی هم برای کامپابلیتی مرورگر دیده میشود
هدر X-Frame-Options
که اگر بصورت زیر استفاده می شود
<?php header("X-Frame-Options: SAMEORIGIN "); اجازه باز شدن آی فرم های خارج از دامنه را نمی دهد
چیزی که جالبه این هدر را بقیه مرورگرهای استاندار هم در دستور کار خود قرار داده اند یعنی Safari,[26] Firefox,[27] Chrome,[28] and Opera[29]
مایکروسافت چند تا هدر جالب دیگه هم در همین زمینه ارایه داده
X-XSS-Protection با عملکرد: Cross-site scripting (XSS) filter
که می تواند بصورت زیر بکار رود:
<?php header("X-XSS-Protection: 0"); که انوع فیلترهای xss را پوشش می هد فعلا کروم هم آن را اضافه کرده
هدر بعدی هم جالبه
که علاوه بر IE کروم هم آن را دارد
به طور خلاصه اینکه اگر content type با mime سازگار نباشد صفحه باز نمی شود
برای ممانعت از اسنیف کردن صفحه این هدر ایجادشده است
<?php header("X-Content-Type-Options: nosniff");
اما یک هدر عجیب و فوق العاده
با این هدر ما IE را مجبور می کنیم که محتویات را مثل chrom نمایش دهد این هدر X-UA-Compatible است
در توضیح آن اینطور نوشته شده:
مثال از استفاده:
<?php header("X-UA-Compatible: Chrome=1");
یا به صورت
header("X-UA-Compatible: IE=7")
که اگر کاربر اینترنت اکسپلوور 9 هم داشته باشد به مانند اینترنت اکسپلورر 7 اجرا می شود
(مرجع اصلی: http://en.wikipedia.org/wiki/X-Frame-Options)