¿Es necesario usar X-FRAME-OPTIONS para evitar los ataques de ClickJacking?

3

Utilizo este código Javascript, y funciona perfectamente:

  

if (top.location! = location) top.location.href = location.href

Muchos investigadores me dijeron que no usara esto.

¿Puede alguien evitarlo?

¿Existe algún riesgo al usar esto, si es así, qué?

Uno de ellos me dijo que un atacante puede redefinir location variable:

  

var location = 'foo';

Pero en Google Chrome, esto no parece funcionar

    
pregunta wking77 18.07.2015 - 06:32
fuente

2 respuestas

6

Estás hablando de ataques ClickJacking . (El título era diferente antes de mi edición)

  

¿Puede alguien evitarlo?

Sí, esto se puede omitir al cargar la página en un iframe. Lamentablemente no tengo el código por el momento. Sin embargo, lo que se puede hacer es deshabilitar javascript mientras se carga el iframe. Esto pasará por alto su código de destrucción de marcos. (No hay tal cosa como el código que destruye los marcos en mi humilde opinión)

  

¿Es necesario utilizar X-FRAME-OPTIONS para evitar ClickJacking?   ataques?

Para los navegadores más nuevos, es el estándar prevenir ataques de ClickJacking. No veo una razón para no usarlo, ya que es bastante simple agregar el encabezado adicional para cada respuesta.

  

Uno de ellos me dijo que un atacante puede redefinir la variable de ubicación:

     

var location = 'foo';

Como no se muestra todo el código, es difícil decir si esto es explotable o no. Lo único que puedo ver en esta línea de código es que el atacante podría atacar su propio navegador modificando la ubicación de la variable, que es inútil.

    
respondido por el Jeroen - IT Nerdbox 18.07.2015 - 07:38
fuente
4
  

¿Puede alguien evitarlo?

Sí. Este puede ser uno con el atributo sandbox. Con este atributo, la ejecución de Javascript dentro del iframe se puede deshabilitar y, por lo tanto, no se ejecutará el código del destructor de cuadros. Además, algunos clientes pueden tener deshabilitada la ejecución de Javascript, como al usar la extensión del navegador NoScript.

Para obtener más información, consulte enlace y para una comparación científica de los métodos de eliminación de marcos y cómo se puede hacer que fallen. enlace .

    
respondido por el Steffen Ullrich 18.07.2015 - 08:44
fuente

Lea otras preguntas en las etiquetas