Establecer ciertos encabezados de respuesta solo si el Referer no es válido

0

Encontré esta técnica y tengo curiosidad por si hay algún defecto en este diseño. Un sitio establece el encabezado de respuesta X-Frame-Options para negar solo si el encabezado Referer no está definido o no coincide con el dominio del sitio. Cuando el encabezado Referer se establece en el dominio correcto, el X-Frame-Options no se define en la respuesta.

¿Hay algún defecto en esto? Siento que depender del encabezado Referer no es suficiente para evitar el clickjacking, pero no puedo pensar en un caso de uso del mundo real.

    
pregunta user93264 30.11.2015 - 17:49
fuente

1 respuesta

1

Cualquier encabezado proporcionado por el cliente puede ser falsificado. Al usar cURL, puedo crear una solicitud HTTP para contener los encabezados que quiero. Dependiendo de la referencia es inteligente, pero inteligente no es lo suficientemente bueno. Si estoy elaborando la solicitud como un iFrame, tengo control total sobre el encabezado de la solicitud.

Aquí hay un caso de uso, cortesía de las mentes brillantes en Stack Overflow: enlace

Sitio web del mal - > Script AJAX para precargar encabezados - > Tú sitio.

Agregue x-frame-options en cada página en cada caso, y use scripts de framebusting para los navegadores más antiguos.

    
respondido por el Ohnana 30.11.2015 - 19:31
fuente

Lea otras preguntas en las etiquetas