Tengo dudas sobre el uso de la Política de seguridad de contenido (CSP) como mecanismo de protección contra el clickjacking.
He creado una Prueba de concepto (PoC) en línea en una página web donde coloco un botón que carga la URL que se especifica en un campo de entrada que está funcionando en un servidor. Este PoC es para probar si un sitio es vulnerable o no, y en base a eso, he probado un sitio que usa CSP para prevenir ataques de clickjacking. El resultado en mi PoC en línea me dice que el sitio no es vulnerable porque no puedo enmarcarlo, sin embargo, si repito la prueba usando la plantilla estática provista en el sitio de OWASP, entonces puedo ver el contenido de la página web dentro del elemento.
Por lo tanto, creo que el sitio aún puede ser vulnerable, y me gustaría saber su opinión.
Noté que el CSP no se devuelve en el encabezado cuando uso el PoC estático, ¿cree que esto es un error en la programación que hace que el sitio sea vulnerable?
¿Alguien ha experimentado esto antes?