.Net Core MVC Ataque de clickjacking [cerrado]

Navega tus respuestas
-2

¿Cómo podemos prevenir un ataque de clickjacking usando iframes, etc. en la aplicación central .Net MVC?

    
pregunta Rithu Bimasha 17.07.2017 - 07:03
fuente

2 respuestas

3

Si su aplicación está alojada con IIS, puede activar el encabezado de X-Frame-Options en web.config. 

<httpProtocol>
  <customHeaders>
    <add name="X-Frame-Options" value="DENY" />
  </customHeaders>
</httpProtocol>

Otras formas de usar X-Frame-Options se describen aquí .

Un enfoque más moderno sería utilizar la Política de seguridad de contenido. 

Content-Security-Policy: frame-ancestors 'none';

Para los navegadores más antiguos que no entienden estos encabezados, también puede usar un script de framekiller , pero esto no está actualizado y no siempre completamente seguro.

    
respondido por el floworbit 17.07.2017 - 09:55
fuente
1

Una forma es agregar los encabezados HTTP a su respuesta como se describe en otra respuesta. Esto es común a cualquier aplicación web y las siguientes son las opciones que puede usar.

  • NEGAR:
  • SAMEORIGIN: Permitir solo a su dominio
  • ALLOW-FROM: puede especificar cualquier dominio para permitir

Dado que ha preguntado acerca de .Net Core específicamente, a continuación se presenta la forma en que puede implementar la seguridad en su middleware. 

app.UseXfo(o=>o.Deny());

Puede usar cualquier opción en su software intermedio de esta manera en su código.

    
respondido por el user3496510 17.07.2017 - 10:26
fuente

Lea otras preguntas en las etiquetas

¿Qué tan seguros son los paquetes de código abierto? [cerrado] Alternativas a SSL / TSL para Android y iOS