在RestfulAPI中加'x-frame-options'有意义吗
Is it Meaningful to Add 'x-frame-options' in an Restful API
我们正在开发一个 restful API 来完成一些不同的事件。我们已完成 Nessus 漏洞扫描以查看安全漏洞。事实证明,我们有一些漏洞会导致点击劫持,我们已经找到了解决方案。我已将 x-frame-options 添加为 SAMEORIGIN 以处理问题。
我的问题是,既然我是 API,我需要处理点击劫持吗?我想第 3 方用户应该能够通过 iframe 访问我的 API,我不需要处理这个。
我错过了什么吗?能否请您分享您的想法?
编辑 2019-10-07: @Taytay 的 PR 已经合并,所以 OWASP 推荐现在说服务器 应该 发送 X-Frame-Options header.
原回答:
OWASP recommends 客户 发送 X-Frame-Options header,但没有提及 API 本身。
我看不到 API 到 return 点击劫持安全性 header 有任何意义的场景 - 在 iframe 中没有任何东西可以点击!
OWASP recommends 您不仅发送 X-Frame-Options header,而且还设置为拒绝。
这些建议不是针对网站而是针对 REST 服务。
执行此操作有意义的场景正是 OP 提到的场景 - 运行 漏洞扫描。
如果您 return 不正确 X-Frame-Options header 扫描将失败。这在向客户证明您的端点安全时很重要。
为您的客户提供合格报告比争论为什么缺失 header 无关紧要要容易得多。
添加 X-Frame-Options header 不应影响端点消费者,因为它不是带有 iframe 的浏览器。
我们正在开发一个 restful API 来完成一些不同的事件。我们已完成 Nessus 漏洞扫描以查看安全漏洞。事实证明,我们有一些漏洞会导致点击劫持,我们已经找到了解决方案。我已将 x-frame-options 添加为 SAMEORIGIN 以处理问题。
我的问题是,既然我是 API,我需要处理点击劫持吗?我想第 3 方用户应该能够通过 iframe 访问我的 API,我不需要处理这个。
我错过了什么吗?能否请您分享您的想法?
编辑 2019-10-07: @Taytay 的 PR 已经合并,所以 OWASP 推荐现在说服务器 应该 发送 X-Frame-Options header.
原回答:
OWASP recommends 客户 发送 X-Frame-Options header,但没有提及 API 本身。
我看不到 API 到 return 点击劫持安全性 header 有任何意义的场景 - 在 iframe 中没有任何东西可以点击!
OWASP recommends 您不仅发送 X-Frame-Options header,而且还设置为拒绝。
这些建议不是针对网站而是针对 REST 服务。
执行此操作有意义的场景正是 OP 提到的场景 - 运行 漏洞扫描。
如果您 return 不正确 X-Frame-Options header 扫描将失败。这在向客户证明您的端点安全时很重要。
为您的客户提供合格报告比争论为什么缺失 header 无关紧要要容易得多。
添加 X-Frame-Options header 不应影响端点消费者,因为它不是带有 iframe 的浏览器。