Значимо добавить «x-frame-options» в Restful API

Question

Мы разрабатываем успокоительный API, который выполняет некоторые различные события. Мы проверили уязвимость Nessus, чтобы увидеть утечки безопасности. Оказалось, что у нас есть некоторые утечки, которые приводят к кликнированию, и мы нашли решение. Я добавил x-frame-options как SAMEORIGIN, чтобы справиться с проблемами.

Мой вопрос здесь в том, что, поскольку я API, мне нужно обрабатывать clickjacking? Я предполагаю, что сторонний пользователь должен иметь доступ к моему API через iframe, и мне не нужно его обрабатывать.

Пропустить что-нибудь? Не могли бы вы поделиться своими идеями?

Answer 1

OWASP recommends что клиенты отправляют заголовок X-Frame-Options, но не упоминает сам API.

Я не вижу сценария, в котором API-интерфейс будет иметь смысл возвращать клики для защиты от щелчка мышью - в iframe нет ничего, что можно было бы щелкнуть!

Answer 2

OWASP recommends, что вы не только отправляете заголовок X-Frame-Options, но и устанавливаете его в положение DENY.

Это рекомендации не для веб-сайта, а для службы REST.

Сценарий, где имеет смысл делать это, - это именно тот, о котором упомянул ОП, - проверка уязвимости.

Если вы не вернете правильный заголовок X-Frame-Options, сканирование завершится неудачно. Это важно, когда вы доказываете клиентам, что ваша конечная точка безопасна.

Гораздо проще предоставить вашему клиенту передающий отчет, чем аргументировать, почему недостающий заголовок не имеет значения.

Добавление заголовка X-Frame-Options не должно влиять на пользователя конечной точки, поскольку он не является браузером с iframe.