Introduction
這個弱點主要在講目標頁面是可以被iframe給引用,而存在Clickjacking的可能。這樣講或許很神,可以參考以下兩個連結:
- What is Clickjacking? 直接看畫面你就懂了。
- Description
How to fix?
要解決這個問題的方法,就是在response header引入X-Frame-Options: DENY,完全避免frame的使用方式;或者使用X-Frame-Options: SAMEORIGIN,讓只有same origin的網頁才能引用。
而我會特別整理這篇內容,主要是想了解到底REST API的情境下,是否需要處理這個問題。OWASP REST Security Cheat Sheet中其實有建議response header必須要包含X-Frame-Options: DENY,後來查了以下兩篇文章並獲得一些結論:
- Is it Meaningful to Add 'x-frame-options' in an Restful API?
- OWASP security guideline to protect restapi against clickjacking, are they acurate?
結論:
- REST API的內容還是有可能回應HTML,如果有HTML就存在Clickjacking風險。
- 加Header是為了通過vulnerability scan,給客戶完美的報表。XD~
留言
張貼留言