<html><head></head><body bgcolor="#FFFFFF"><div>It's an ineffective approach.  I'd prefer to add a section saying NOT to do it and will provide the Stanford article link as backup. Fair?<br><br>PS: If you use an older browser you have much much bigger problems....</div>
<div><br><div>--</div><div>Jim Manico</div><div>(808) 652-3805</div></div><div><br>On Sep 4, 2012, at 8:44 AM, Eoin Keary <<a href="mailto:eoinkeary@gmail.com">eoinkeary@gmail.com</a>> wrote:<br><br></div><div></div>
<blockquote type="cite"><div><div>So we should mention that?? It is still a common approach to cover older browsers.<br><br>Eoin Keary<div>Owasp Global Board</div><div>+353 87 977 2988</div><div><br></div></div><div><br>On 3 Sep 2012, at 21:35, Jim Manico <<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>> wrote:<br>
<br></div><div></div><blockquote type="cite"><div>
  
    <meta content="text/html; charset=UTF-8" http-equiv="Content-Type">
  
  
    <div class="moz-cite-prefix">It's so easily evadable ...<br>
      <br>
      <meta charset="utf-8">
      <meta charset="utf-8">
      <a class="moz-txt-link-freetext" href="http://seclab.stanford.edu/websec/framebusting/framebust.pdf">http://seclab.stanford.edu/websec/framebusting/framebust.pdf</a><br>
      <br>
      ... I no longer recommend the technique. If there IS a good
      JavaScript framebusting technique I'm all ears...<br>
      <br>
      Jim Manico<br>
      OWASP Volunteer<br>
      (808) 652-3805<br>
      <br>
      <br>
      <br>
    </div>
    <blockquote cite="mid:EAC19D58-2225-42F1-9A2F-6A3E7C822F6A@owasp.org" type="cite">
      <pre>The jscript stuff still makes it a little header. There are also some sorta effective solutions. Should you not include them?

Eoin Keary
Owasp Global Board
+353 87 977 2988


On 3 Sep 2012, at 17:58, Jim Manico <a class="moz-txt-link-rfc2396E" href="mailto:jim.manico@owasp.org"><jim.manico@owasp.org></a> wrote:

</pre>
      <blockquote type="cite">
        <pre>I want to write a Cheat-sheet on Clickjacking defense.

I was thinking of just discussing the different framing blocking headers....

// to prevent all framing of this content 
> 
response.addHeader( "X-FRAME-OPTIONS", "DENY" ); 

// to allow framing of this content only by this site 
response.addHeader( "X-FRAME-OPTIONS", "SAMEORIGIN" );

// to allow framing from a specific domain
response.addHeader( "X-FRAME-OPTIONS", "ALLOW-FROM X" ); 

...and call it a day. I do not want to recommend manual framebreaking JavaScript, it's completely ineffective and is easily evaded.

What do you think, any thoughts on this topic?

Cheers folks,

Jim Manico
OWASP Volunteer
(808) 652-3805

_______________________________________________
OWASP-Leaders mailing list
<a class="moz-txt-link-abbreviated" href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a>
<a class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a>
</pre>
      </blockquote>
    </blockquote>
    <br>
  

</div></blockquote></div></blockquote></body></html>