我们正在开发一个可以完成各种活动的RESTful API。我们已经完成了Nessus漏洞扫描,以查看安全漏洞。事实证明,我们有一些泄漏导致点击劫持,我们找到了解决方案。我已将x-frame-options添加为SAMEORIGIN以处理问题。
我的问题是,由于我是API,我是否需要处理点击劫持?我猜第三方用户应该可以通过iframe访问我的API而且我不需要处理这个问题。
我错过了什么吗?你能分享一下你的想法吗?
答案 0 :(得分:7)
OWASP recommends clients 发送X-Frame-Options标头,但未提及API本身。
我认为API没有任何理由让API返回点击劫持安全标头 - 在iframe中没有任何内容可以点击!
答案 1 :(得分:3)
OWASP recommends您不仅会发送X-Frame-Options标头,还会将其设置为DENY。
这些建议不适用于网站,而是适用于REST服务。
执行此操作有意义的场景正是OP所提到的 - 运行漏洞扫描。
如果未返回正确的X-Frame-Options标题,扫描将失败。在向客户证明您的终端是安全的时候,这很重要。
为客户提供传递报告要容易得多,而不是为什么缺少标题无关紧要。
添加X-Frame-Options标头不应影响端点使用者,因为它不是具有iframe的浏览器。