Мы разрабатываем надежный API, который выполняет некоторые различные события. Мы проверили уязвимость Nessus, чтобы увидеть утечки безопасности. Оказалось, что у нас есть некоторые утечки, которые приводят к кликнированию, и мы нашли решение. Я добавил x-frame-options как SAMEORIGIN для решения проблем.
Мой вопрос здесь в том, что, поскольку я API, мне нужно обрабатывать clickjacking? Я предполагаю, что сторонний пользователь должен иметь доступ к моему API через iframe, и мне не нужно его обрабатывать.
Я что-то пропустил? Не могли бы вы поделиться своими идеями?
Изменить 2019-10-07: @Taytay PR объединено, поэтому в рекомендации OWASP теперь говорится, что сервер должен отправить заголовок X-Frame-Options.
Оригинальный ответ:
OWASP рекомендует клиентам отправлять заголовок X-Frame-Options, но не упоминает сам API.
Я не вижу сценария, в котором API имеет какой-либо смысл возвращать заголовки безопасности с использованием clickjacking - в iframe нечего нажимать!
OWASP рекомендует, что вы не только отправляете заголовок X-Frame-Options, но и устанавливаете его в DENY.
Это рекомендации не для веб-сайта, а для службы REST.
Сценарий, в котором имеет смысл делать это, - это именно тот, о котором упомянул OP - запуск сканирования уязвимости.
Если вы не вернете правильный заголовок X-Frame-Options, сканирование завершится неудачно. Это важно, когда вы доказываете клиентам, что ваша конечная точка в безопасности.
Гораздо проще предоставить вашему клиенту пропущенный отчет, чем аргументировать, почему недостающий заголовок не имеет значения.
Добавление заголовка X-Frame-Options не должно влиять на пользователя конечной точки, поскольку он не является браузером с iframe.