404 Not Found 页面是否需要设置X-Frame-Options
Is it necessary to set X-Frame-Options for 404 Not Found pages
In Clickjacking Defense Cheat Sheet OWASP 建议为所有包含 HTML 内容的响应设置 X-Frame-Options header,但我不确定是否有必要也为仅包含此 HTML 内容(无任何链接)的 404 未找到页面设置此 header:
<html><head><title>Error</title></head><body>404 - Not Found</body></html>
X-Frame-Options 防止像点击劫持这样的攻击(攻击者使用 iframe 在他自己的内容上透明地显示您的网站,以便让用户点击用户不想点击的不可见内容),或者像 pixel perfect timing attacks.
这样的东西
如果你不担心这些(页面上无法更改申请状态,也没有信息被盗用),我认为你不需要严格X-Frame-Options。
有时以组件(主要是 Web 服务器)仅将 header 添加到所有响应的方式进行设置可能更容易。如果您不是这种情况,我认为您可以拥有没有 X-Frame-Options 的 404 页面,这仍然没问题。
除非需要框架,否则我总是建议设置 X-FRAME-OPTIONS: Deny
以及新的标准 Content Security Policy frame-ancestors
指令。
原因是还有其他攻击,例如 Cross Site History Manipulation (XSHM) and Path-Relative Stylesheet Import (PRSSI) 依赖于受害网站被陷害。
就是说,如果您的 404 页面有 "nothing to Clickjack",那么为了防止点击劫持而在此处防止框架几乎没有什么好处。 PRSSI 还要求内容是动态的,并且 XSHM 不应该 在定时攻击方面确实受到影响,因为目标页面仍然必须在浏览器知道不在框架中显示之前加载.
因此,
Is it necessary to set X-Frame-Options for 404 Not Found pages
没有
In Clickjacking Defense Cheat Sheet OWASP 建议为所有包含 HTML 内容的响应设置 X-Frame-Options header,但我不确定是否有必要也为仅包含此 HTML 内容(无任何链接)的 404 未找到页面设置此 header:
<html><head><title>Error</title></head><body>404 - Not Found</body></html>
X-Frame-Options 防止像点击劫持这样的攻击(攻击者使用 iframe 在他自己的内容上透明地显示您的网站,以便让用户点击用户不想点击的不可见内容),或者像 pixel perfect timing attacks.
这样的东西如果你不担心这些(页面上无法更改申请状态,也没有信息被盗用),我认为你不需要严格X-Frame-Options。
有时以组件(主要是 Web 服务器)仅将 header 添加到所有响应的方式进行设置可能更容易。如果您不是这种情况,我认为您可以拥有没有 X-Frame-Options 的 404 页面,这仍然没问题。
除非需要框架,否则我总是建议设置 X-FRAME-OPTIONS: Deny
以及新的标准 Content Security Policy frame-ancestors
指令。
原因是还有其他攻击,例如 Cross Site History Manipulation (XSHM) and Path-Relative Stylesheet Import (PRSSI) 依赖于受害网站被陷害。
就是说,如果您的 404 页面有 "nothing to Clickjack",那么为了防止点击劫持而在此处防止框架几乎没有什么好处。 PRSSI 还要求内容是动态的,并且 XSHM 不应该 在定时攻击方面确实受到影响,因为目标页面仍然必须在浏览器知道不在框架中显示之前加载.
因此,
Is it necessary to set X-Frame-Options for 404 Not Found pages
没有