Tengo un par de sitios web, por lo que me pregunto ¿cuál es el uso adecuado de la protección de clickjacking como el encabezado de respuesta de opciones de fotograma x? ¿Qué páginas son susceptibles a este tipo de ataque en mis usuarios?
En general, cada página que permite al usuario cambiar datos es un objetivo potencial para el clickjacking. El objetivo del clickjacking es engañar a la víctima para que tome medidas en nombre del atacante. Esto afecta a todas las páginas con formularios o botones u otros elementos de la interfaz de usuario que tienen efectos persistentes.
Sin embargo, recomiendo encarecidamente no tomar el enfoque de lista negra y seleccionar páginas individuales para su protección. Es muy fácil pasar por alto algo, las páginas pueden cambiar con el tiempo, e incluso una página aparentemente inofensiva puede volverse peligrosa por una vulnerabilidad adicional. Por ejemplo, el atacante podría haber encontrado una vulnerabilidad de secuencias de comandos entre sitios en su sitio. Al combinar esto con el clickjacking, es posible que puedan realizar acciones arbitrarias independientemente de para lo que originalmente diseñó la página.
El enfoque correcto es la inclusión en la lista blanca: Usted protege todas las páginas , excepto aquellas que absolutamente deben estar enmarcadas.
Tenga en cuenta que establecer el encabezado en un valor que no sea DENY no es confiable. Cuando se enfrentan a marcos anidados, los navegadores actuales generalmente solo revisan el sitio de nivel superior. Esto significa que puede terminar con situaciones como esta: permite que el sitio good.com incruste su página como marco, pero este sitio también incrusta evil.com . Esto permite a evil.com enmarcar su página a pesar de que el encabezado X-FRAME-OPTIONS se establezca en good.com , porque el sitio de nivel superior es de hecho good.com .
Por lo tanto, si permite el enmarcado, espere que la página se enmarque en el sitio cualquier , no solo el que ha elegido.
Lea otras preguntas en las etiquetas web-application clickjacking