我们有一个基于Java的restapi web应用程序,我正试图对其进行测试,然后我通过了restasp的owasp安全单:
https://www.owasp.org/index.php/REST_Security_Cheat_Sheet#Security_headers
如owasp所建议,“此外,客户端还应发送X-Frame-Options:拒绝以防止在旧版浏览器中进行拖放式点击劫持攻击。”, 但是,据我所知,服务器通常发送此x-frame-options而不是客户端,这是owasp的错字错误吗?此外,对于rest api请求,如何在浏览器中看不到restapi调用的情况下利用点击劫持!?
答案 0 :(得分:1)
OWASP指南是社区的工作。显然,该声明是在2012年左右引入的,请参见以下revision。这很可能是拼写错误,因为服务器应该发送X-Frame-Options标头,而不是浏览器。
在传统的REST API中,技术上无法执行点击劫持。一个非常牵强的想法可能是,如果您提供HATEOAS API并以HTML格式输出它。
我要说的是转移到其他安全方面,例如认证,授权和敏感数据泄漏。尝试也考虑超出指导原则。一旦我发现一个API也以base64格式返回用户密码,就不那么聪明了……