我们正在开发一个可以完成各种活动的RESTful API.我们已经完成了Nessus漏洞扫描,以查看安全漏洞.事实证明,我们有一些泄漏导致点击劫持,我们找到了解决方案.我已经加入x-frame-options作为SAMEORIGIN以处理问题.
我的问题是,由于我是一个API,我是否需要处理点击劫持?我想第三方用户应该能够通过iframe访问我的API,而我不需要处理这个问题.
我错过了什么吗?你能分享一下你的想法吗?
OWASP建议该客户发送的X架-选项头,但并没有提及该API本身.
我没有看到API返回点击劫持安全标头的任何情况 - 没有任何内容可以在iframe中点击!
OWASP建议您不仅发送X-Frame-Options标头,而且将其设置为DENY。
这些建议不是针对网站的建议,而是针对REST服务的建议。
合理地做到这一点的方案正是OP所提到的方案-运行漏洞扫描。
如果没有返回正确的X-Frame-Options标头,则扫描将失败。向客户证明您的端点是安全的时,这一点很重要。
为客户提供通过报告要容易得多,而不必争论为什么缺少标头并不重要。
添加X-Frame-Options标头不应影响端点使用者,因为它不是具有iframe的浏览器。
京公网安备 11010802040832号 | 京ICP备19059560号-6 