Question

В моем проекте Ext Js в качестве внешнего интерфейса и весенняя загрузка в качестве внутреннего. Ext Js вызовет пружинную загрузку, которая ответит JSON. Я хотел предотвратить атаку clickjacking в моем проекте. У меня есть простой html скрипт, который просто загружает сайт в iframe. Если сайт загружается в iframe, это означает, что он небезопасен. Я добавил следующие флаги X-Frame-Options: DENY and Content-Security-Policy: frame-ancestors 'none'; в ответ REST API весенней загрузки чтобы предотвратить это. Но даже тогда это не мешает загрузке моего приложения в iframe. Код для проверки возможности кликджекинга:

<html>
<head>
<title>Clickjack test page</title>
</head>
<body>
<p>Website is vulnerable to clickjacking!</p>
<iframe src="http://localhost:8000" width="1000" height="1000"></iframe>
</body>
</html>

`

Здесь localhost:8000 относится к ext js URL. Я исследовал и обнаружил, что проверки на стороне клиента для предотвращения перехвата кликов не таковы. эффективный. Так есть ли варианты, чтобы предотвратить атаку clickjacking в моем проекте

Vignesh Ammasi · Answer 1 · 06 января 2020

X-Frame-Options: DENY должен сделать свое дело, если оно доступно в заголовке ответа. Он не позволяет сайту загружаться в iframe по умолчанию в настройках браузера. Если вы можете изменить настройки браузера или иметь какой-либо плагин, который отключит параметры iframe, то он не будет работать. Вы можете попробовать использовать другой браузер или в режиме инкогнито

Priya · Answer 2 · 07 января 2020

Проблема была решена установкой Header always append X-Frame-Options DENY в apache файл конфигурации сервера

Adesh shetty · Answer 3 · 06 января 2020

Используйте параметр «DENY», чтобы запретить все кадрирование, или «SAMEORIGN», чтобы разрешить кадрирование только исходным доменом, если это требуется для функциональности приложения.

Устаревшие браузеры могут не поддерживать заголовок «XFRAME OPTIONS» и требовать защиты на основе JavaScript от перехвата кликов. Информацию о защите JavaScript можно найти по адресу https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Shee

X-Frame-Options: DENY не работает для REST API весенней загрузки

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

X-Frame-Options: DENY не работает для REST API весенней загрузки

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы