¿Hay alguna forma de omitir el encabezado de opciones de fotograma x sin usar un MitM o cambiar los paquetes de otra manera?
Entonces, en realidad, obtener un sitio que tenga opciones de marco x: NEGAR para que se muestre en un iframe.
Omitir x-frame-options para clickjacking
2 respuestas
5
Hay una advertencia al usar el encabezado X-Frame-Options : solo verifica el marco de nivel superior . Esto significa que si tiene marcos anidados, es decir, marcos dentro de marcos, todavía es posible que otro origen incluya un sitio con un encabezado X-Frame-Options: SAMEORIGIN .
A este respecto, el encabezado Content-Security-Policy: frame-ancestors 'self' es mejor, ya que comprueba todos antepasados de cuadros
respondido por el Sjoerd
22.03.2017 - 15:26
fuente
1
En realidad, obteniendo un sitio que tiene opciones de marco x: NEGAR para que se muestre en un iframe.
No es posible incrustar un sitio enviando un encabezado X-Frame-Options: DENY en ningún marco.
De RFC 7034 :
DENY
A browser receiving content with this header field MUST NOT
display this content in any frame.
Sin embargo, en algunos casos podría ser posible omitir la directiva SAMEORIGIN , ya que algunos navegadores solo verifican el origen de nivel superior y no el elemento primario directo del marco:
SAMEORIGIN
A browser receiving content with this header field MUST NOT
display this content in any frame from a page of different origin
than the content itself. [...]
Please note that current implementations vary on the
interpretation of this criteria. In some, it only allows a page
to be framed if the origin of the top-level browsing context is
identical to the origin of the content using the X-Frame-Options
directive; in others, it may consider the origin of the framing
page instead.
(Enfatiza lo mío)
respondido por el
Arminius
31.03.2017 - 12:34
fuente
Lea otras preguntas en las etiquetas vulnerability penetration-test clickjacking