Estoy tratando de entender cuándo Framebusting debe y no debe utilizarse. Al principio, me gustaría aplicar eso a todas las páginas de mi sitio y generar excepciones según sea necesario.
Por otro lado, si tuviera un enfoque minimalista, pensaría que me gustaría aplicar esta seguridad a mi página de inicio de sesión.
¿Hay alguna razón por la que no deba aplicar framebusting a una página de inicio de sesión?
¿Existen otras mejores prácticas relacionadas?
Por lo que he visto que la Creación de Funda como técnica es un tanto obsoleta como una defensa contra los ataques de tipo click-jacking a favor de configurar el encabezado de Opciones de Marco X (por ejemplo, la página OWASP here y aquí ). El soporte del navegador para los encabezados X-Frame-Options parece volver a IE8, por lo que, a menos que tenga un conjunto de navegadores realmente antiguo, debería funcionar bien.
Entonces, la respuesta corta es que recomiendo bajar esa línea en lugar de usar JavaScript de Framebusting.
Lea otras preguntas en las etiquetas web-application authentication appsec openid