Рекомендации OWASP по безопасности для защиты данных от кликджекинга, точны ли они?

Question

У нас есть веб-приложение на основе java restapi, я пытаюсь его протестировать, и я прошел лист безопасности owasp для restapi:

https://www.owasp.org/index.php/REST_Security_Cheat_Sheet#Security_headers

Как рекомендует owasp: «Кроме того,клиент должен отправить X-Frame-Options: запретить защиту от атак drag'n drop clickjacking в старых браузерах. "Однако, как я знаю, сервер обычно отправляет эти x-frame-options, а не клиенту,опечатка от owasp?кроме того, с помощью запроса rest api, как можно использовать перехваты кликов, так как вызовы restpi не видны в браузере!?

Answer 1

Руководства OWASP - это работа сообщества.По-видимому, это заявление было введено в 2012 году, см. редакция Скорее всего, это опечатка, поскольку сервер должен отправлять заголовок X-Frame-Options, а не браузер.

В классических API-интерфейсах REST технически нет способа совершить щелчок.Идея очень надуманная может быть, если вы обслуживаете HATEOAS API и выводите его в формате HTML.

Я бы сказал, что двигаться дальше и сосредоточиться на других аспектах безопасности, таких как аутентификация, авторизация и конфиденциальностьданные просочились.Попробуйте также думать вне рамок руководства.Однажды я нашел API, который также возвращал пароль пользователя в формате base64, не такой умный ...