X-Frame-Options：DENY 不适用于 spring boot REST API

Question

我的项目有 ExtJs 作为前端，Spring boot 作为后端。 ExtJs 将调用 spring 启动，它将以 JSON 响应。我想在我的项目中防止 clickjacking 攻击。我有一个简单的 html 脚本，它只会在 iframe.If 中加载网站，该网站是在 iframe 中加载的，这意味着它不是 secure.I 添加了以下标志 X-Frame-Options: DENY and Content-Security-Policy: frame-ancestors 'none'; 在 spring 引导 REST API 响应中阻止 that.But 即便如此，它也不会阻止我的应用程序在 iframe 中加载。检查点击劫持是否可行的代码是

<html>
<head>
<title>Clickjack test page</title>
</head>
<body>
<p>Website is vulnerable to clickjacking!</p>
<iframe src="http://localhost:8000" width="1000" height="1000"></iframe>
</body>
</html>

`

这里，localhost:8000 指的是 extjs URL.I 研究并发现客户端验证以防止点击劫持不是那么有效。那么在我的项目中是否有任何选项可以防止点击劫持攻击

Answer 1

使用 'DENY' 选项阻止所有框架，或 'SAMEORIGN' 只允许在应用程序功能需要时由原始域进行框架。

旧版浏览器可能不支持 'XFRAME OPTIONS' header，需要基于 JavaScript 的点击劫持保护。有关基于 JavaScript 的保护的信息，请访问 https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Shee

Answer 2

X-Frame-Options：如果在响应 header 中可用，DENY 应该可以解决问题。默认浏览器设置不允许站点加载到 iframe 中。如果您可能更改了浏览器设置或有任何插件会禁用 iframe 选项，那么它将无法工作。您可以尝试使用其他浏览器或隐身模式

Answer 3

通过在 apache 服务器配置文件

中设置

Header always append X-Frame-Options DENY

解决了这个问题

X-Frame-Options：DENY 不适用于 spring boot REST API

X-Frame-Options: DENY is not working for spring boot REST API

javascript

spring-boot

extjs

spring-security

clickjacking