那些遇到过的问题

在Restful API中添加'x-frame-options'是否有意义

Uğu*_*git 15 api rest x-frame-options clickjacking

我们正在开发一个可以完成各种活动的RESTful API.我们已经完成了Nessus漏洞扫描,以查看安全漏洞.事实证明,我们有一些泄漏导致点击劫持,我们找到了解决方案.我已经加入x-frame-options作为SAMEORIGIN以处理问题.

我的问题是,由于我是一个API,我是否需要处理点击劫持?我想第三方用户应该能够通过iframe访问我的API,而我不需要处理这个问题.

我错过了什么吗?你能分享一下你的想法吗?

nic*_*oon 9

OWASP建议客户发送的X架-选项头,但并没有提及该API本身.

我没有看到API返回点击劫持安全标头的任何情况 - 没有任何内容可以在iframe中点击!

Ste*_*rne 5

OWASP建议您不仅发送X-Frame-Options标头,而且将其设置为DENY。

这些建议不是针对网站的建议,而是针对REST服务的建议。

合理地做到这一点的方案正是OP所提到的方案-运行漏洞扫描。

如果没有返回正确的X-Frame-Options标头,则扫描将失败。向客户证明您的端点是安全的时,这一点很重要。

为客户提供通过报告要容易得多,而不必争论为什么缺少标头并不重要。

添加X-Frame-Options标头不应影响端点使用者,因为它不是具有iframe的浏览器。

  • @nickspoon我认为OWASP文章中有一个错字,因为`X-Frame-Options` [是响应头](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-框架选项)。 (4认同)
  • 虽然不可否认这是明智的建议,但这并不能回答OP关于在API响应中提供此标头是否“有意义”的问题。它没有比“X-Powered-By”标头更多的意义;客户不会注意到这一点。 (2认同)

归档时间:

查看次数:

4698 次

最近记录:

6 年,10 月 前
相关归档
Backbone.js中的模型 11
Amazon S3:SDK或REST API 10
Google API PHP客户端 - 联系人服务 9
Ruby on Rails API教程 8
ExitCode -1073741502是什么意思? 6
Twitter REST API - 使用'tweet_mode = extended'参数时,"无法验证您"错误 6
在Ruby上访问Google Contacts API 4
RESTful API是否过度使用/误用? 4
如何在win32 API中处理click事件? 2
为什么我从 api 收到 400 Bad Request 错误 1
难疑归档
C#中字符串和字符串有什么区别? 6250
使用Java创建内存泄漏 3076
如何使用保存实例状态保存Android Activity状态? 2538
在vi中快速缩进多行 2111
如何检查SQL Server表中是否存在列? 1792
什么是控制倒置? 1704
从Git提交中删除文件 1484
将文件从Docker容器复制到主机 1438
关闭特定行的eslint规则 1214
你如何重命名Git标签? 1162