Estoy comprobando la seguridad de mi aplicación Django a través de un escáner de seguridad y Me pregunto si es útil establecer el encabezado X-Frame-Options DENY
en activos estáticos como CSS, imágenes o archivos JS.
Supongo que se puede lograr cargar un archivo HTML disfrazado de otra cosa (como una imagen) y seguir sirviéndolo de la misma manera, y luego poder ejecutar JS en mi dominio (por lo tanto, acceder a algunas cookies). Pero no está vinculado a la ejecución en un iframe, por lo que no puedo ver ningún vector de ataque del que este encabezado me proteja.
Ya tengo el encabezado configurado en el resto de mi sitio web (todas las vistas manejadas por Django mismo).