He agregado el encabezado X-Frame-Options para mis archivos HTML desde el propio servidor web. ¿Todavía necesito agregarlo para otros archivos estáticos como CSS y JS (que sirvo desde cloudfront / s3)?
He agregado el encabezado X-Frame-Options para mis archivos HTML desde el propio servidor web. ¿Todavía necesito agregarlo para otros archivos estáticos como CSS y JS (que sirvo desde cloudfront / s3)?
No. La razón por la que necesitamos XFO (o el CSP correspondiente frame- directiva de los antepasados es clickjacking . El clickjacking no es un problema para los archivos JS o CSS, por lo que no necesita configurar el encabezado XFO para ellos. Pero hacerlo realmente no duele, por lo que para evitar errores de configuración, también puede configurarlo para todos los recursos. Así es más simple.
¿Parece que está configurando el encabezado desde el archivo HTML? Si es así, aquí hay una nota de OWASP :
Las metaetiquetas que intentan aplicar la directiva X-Frame-Options NO FUNCIONAN. Por ejemplo,) no funcionará. Debe aplicar la directiva X-FRAME-OPTIONS como encabezado de respuesta HTTP como se describe anteriormente.