24

We are developing a restful API that fulfills some various events. We have done a Nessus vulnerability scan to see security leaks. It turned out that we have some leaks leads to clickjacking and we have found the solution. I have added x-frame-options as SAMEORIGINin order to handle problems.

My question here is that, since I am an API, do I need to handle clickjacking? I guess 3rd party user should be able to reach my API over an iframe and I don't need to handle this.

Do I miss something? Could you please share your ideas?

4

2 回答 2

14

编辑 2019-10-07:@TaytayPR已合并,因此 OWASP 建议现在表示服务器 发送 X-Frame-Options 标头。

原始答案

OWASP 建议客户发送 X-Frame-Options 标头,但没有提及 API 本身。

我认为 API 返回点击劫持安全标头没有任何意义 - 在 iframe 中没有可点击的内容!

于 2015-12-17T23:55:36.843 回答
13

OWASP 建议您不仅发送 X-Frame-Options 标头,而且将其设置为 DENY。

这些建议不是针对网站而是针对 REST 服务的。

这样做有意义的场景正是 OP 提到的场景——运行漏洞扫描。

如果您没有返回正确的 X-Frame-Options 标头,则扫描将失败。在向客户证明您的端点是安全的时,这一点很重要。

为您的客户提供一份合格的报告要比争论为什么缺少标题无关紧要要容易得多。

添加 X-Frame-Options 标头不应影响端点使用者,因为它不是具有 iframe 的浏览器。

于 2017-12-08T00:19:02.873 回答