Configuración del encabezado HTTP X-Frame-Options DENY para activos estáticos

2

Estoy comprobando la seguridad de mi aplicación Django a través de un escáner de seguridad y Me pregunto si es útil establecer el encabezado X-Frame-Options DENY en activos estáticos como CSS, imágenes o archivos JS.

Supongo que se puede lograr cargar un archivo HTML disfrazado de otra cosa (como una imagen) y seguir sirviéndolo de la misma manera, y luego poder ejecutar JS en mi dominio (por lo tanto, acceder a algunas cookies). Pero no está vinculado a la ejecución en un iframe, por lo que no puedo ver ningún vector de ataque del que este encabezado me proteja.

Ya tengo el encabezado configurado en el resto de mi sitio web (todas las vistas manejadas por Django mismo).

    
pregunta Mickaël 09.03.2016 - 18:07
fuente

1 respuesta

1

Luego de la pequeña conversación para aclarar los comentarios sobre la pregunta de inicio y descubrir un poco más (por ejemplo, que no está permitiendo subir archivos a su servidor), la respuesta es un simple No, no debería dañarlo. . De hecho, en el simple caso de que una persona maliciosa obtenga el código en su servidor de alguna manera, podría ayudarlo, sin embargo, en ese caso, creo que tiene un problema mucho mayor de qué preocuparse.

En realidad, se trata más bien de una cuestión de "¿Quiero que alguien más tenga acceso a mis activos estáticos dentro de un marco?", en cuyo caso la respuesta suele ser un no.

    
respondido por el Robert Mennell 10.03.2016 - 00:49
fuente

Lea otras preguntas en las etiquetas