在 Clickjacking Defense Cheat Sheet OWASP 建议为所有包含 HTML 内容的响应设置 X-Frame-Options 标头,但我不确定是否有必要为仅包含此 HTML 内容的 404 Not Found 页面设置此标头(没有任何链接):
<html><head><title>Error</title></head><body>404 - Not Found</body></html>
问问题
1447 次
2 回答
2
除非需要框架,否则我总是建议设置X-FRAME-OPTIONS: Deny以及新的标准内容安全策略frame-ancestors指令。
原因是存在其他攻击,例如跨站点历史操作 (XSHM)和路径相对样式表导入 (PRSSI),它们依赖于被框架的受害者站点。
也就是说,如果您的 404 页面“对 Clickjack 没有任何影响”,那么在此处阻止框架以防止 Clickjacking 几乎没有什么好处。PRSSI 还要求内容是动态的,并且 XSHM不应该真正受到定时攻击的影响,因为目标页面仍然必须在浏览器知道不在框架中显示它之前加载。
所以,
是否需要为 404 Not Found 页面设置 X-Frame-Options
不。
于 2016-09-12T12:51:31.357 回答
1
X-Frame-Options 可防止诸如 Clickjacking 之类的攻击(攻击者使用 iframe 在他自己的内容上透明地显示您的网站,以便让用户点击用户不想点击的不可见内容)或像素完美之类的攻击定时攻击。
如果您不担心这些(页面上无法更改应用程序状态并且没有信息被窃取),我认为您并不严格需要 X-Frame-Options。
有时以组件(主要是 Web 服务器)将标头添加到所有响应的方式设置它可能更容易。如果您不是这种情况,我认为您可以在没有 X-Frame-Options 的情况下拥有 404 页面,这仍然可以。
于 2016-09-12T08:09:54.170 回答