2016-09-12 10 views
0

В чит-листах защиты Clickjacking OWASP рекомендует установить заголовок X-Frame-Options для всех ответов, содержащих HTML-контент, но я не уверен, что это необходимо установить этот заголовок также 404 Not Found страницы, которая содержит только это содержание HTML (без ссылок):Нужно ли устанавливать X-Frame-опции для 404 не найденных страниц

<html><head><title>Error</title></head><body>404 - Not Found</body></html>

ответ

1

Если кадрирование не требуется, я бы всегда посоветовал установить X-FRAME-OPTIONS: Deny, а также новую стандартную директиву Content Security Policy frame-ancestors.

Причина в том, что там есть другие атаки, такие как Cross Site History Manipulation (XSHM) и Path-Relative Stylesheet Import (PRSSI), которые полагаются на место жертвы, обрамленное.

При этом, если ваша страница 404 имеет «ничего для Clickjack», мало пользы в предотвращении обрамления здесь, чтобы предотвратить Clickjacking. PRSSI также требует, чтобы контент был динамическим, и XSHM не должен действительно быть затронутым в терминах временных атак, поскольку целевая страница все равно должна загружаться до того, как браузер не сможет ее отобразить в кадре.

Поэтому

Нужно установить X-Frame-Options для 404 Not Found страницы

No.

1

X-Frame-Options защищает от атак типа ClickJacking (когда злоумышленник использует плавающие фреймы прозрачно отображение ваш сайт по его собственному контенту, чтобы пользователь нажимал на невидимые вещи, которые пользователь не хотел), или такие вещи, как pixel perfect timing attacks.

Если вы не беспокоитесь об этом (состояние приложения не может быть изменено на странице, и нет информации для кражи), я думаю, что вам не нужны X-Frame-Options.

Возможно, иногда проще настроить его таким образом, чтобы компонент (в основном веб-сервер) просто добавлял заголовок ко всем ответам. Если это не относится к вам, я думаю, что у вас может быть ваша 404 страница без X-Frame-Options, и это все равно.