¿debería uno usar el código "framekiller" para evitar que otros incrusten páginas https en iframes?

Navega tus respuestas
1

Encontré varias discusiones sobre https incrustados en iframes por varias razones. Lo probé y vi que un sitio de banco se escapa del iframe y el otro permite ser incrustado en un iframe.

Google, por ejemplo, simplemente no se carga en un iframe. Drupal, como un cmd no parece que los CMS tengan tal funcionalidad incorporada.

¿Hay algún inconveniente en el uso de códigos o secuencias de comandos de framekiller para evitar los ataques de clics y otros tipos de ataques en el sitio?

¿No sería una buena práctica hacer esto en general?

    
pregunta NamSandStorm 20.10.2015 - 11:18
fuente

2 respuestas

1
  

¿Hay algún inconveniente en el uso de código framekiller o scripts para evitar   Haga clic en jacking y otros tipos de ataques en el sitio de uno?

Creo que podría haber dos desventajas principales para los framekillers:

  • Si JavaScript está deshabilitado (por la víctima, o si el atacante logró hacerlo en una víctima), su página ya no estará protegida contra el clickjacking.
  • ¿Qué sucede si un usuario desea visitar su sitio web con su teléfono? Los teléfonos no tienen muchos recursos y se sabe que son más lentos que las máquinas ordinarias (computadoras) para lidiar con las páginas web pesadas (me refiero a cargar JavaScript / AJAX)
  

¿No sería una buena práctica hacer esto en general?

¿Por qué no resolver este problema de clickjacking en el lado del servidor utilizando X-Frame-Options ?

    
respondido por el user45139 20.10.2015 - 13:01
fuente
1

En general, siempre vale la pena tenerlo o, mejor dicho, no duele y puede evitar los ataques de clickjacking.

Por supuesto que sí depende de tu escenario de uso. Por ejemplo, si el contenido que está creando debe mostrarse en un iframe (tal vez en una red de publicidad), es probable que no quiera salir del marco.

Puede encontrar un buen recurso para leer sobre los diversos enfoques para implementar esto aquí .

Otra cosa a tener en cuenta es que puede dar una falsa sensación de seguridad, es un juego de gato y ratón en lo que respecta a ataques de clickjacking y medidas defensivas. Agregar protección de clickjacking bien implementada a su sitio es excelente y definitivamente vale la pena hacerlo, pero deberá revisarlo periódicamente para asegurarse de que sigue siendo adecuado para su propósito, como todo lo demás cuando se trata de seguridad :)

EDIT

Solo quería aclarar que la defensa de clickjacking debería incluir tanto X-Frame-Options como un poco de javascript para los navegadores más antiguos que no admiten encabezados de X-Frame-Options. La capa javascript de la defensa tiene varias limitaciones, aunque también se encuentran en esta página .

    
respondido por el GreatSeaSpider 20.10.2015 - 12:06
fuente

Lea otras preguntas en las etiquetas

CAPTCHA en páginas seguras con inicio de sesión ¿Técnicas exclusivas de mi versión maliciosa de mi propio programa benigno?